你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az synapse role assignment
管理 Synapse 的角色分配。
命令
名称 | 说明 | 类型 | Status |
---|---|---|---|
az synapse role assignment create |
创建角色分配。 |
核心 | GA |
az synapse role assignment delete |
删除工作区的角色分配。 |
核心 | GA |
az synapse role assignment list |
列出角色分配。 |
核心 | GA |
az synapse role assignment show |
按 ID 获取角色分配。 |
核心 | GA |
az synapse role assignment create
创建角色分配。
az synapse role assignment create --role
--workspace-name
[--assignee]
[--assignee-object-id]
[--assignee-principal-type {Group, ServicePrincipal, User}]
[--assignment-id]
[--item]
[--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
[--scope]
示例
使用服务主体名称创建角色分配。
az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name
使用用户主体名称创建角色分配。
az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee username@contoso.com
使用用户、组或服务主体的 objectId 创建角色分配。
az synapse role assignment create --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee 00000000-0000-0000-0000-000000000000
在范围内创建角色分配。
az synapse role assignment create --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}" --role "Synapse Administrator" --assignee username@contoso.com
在项类型和项名称的组合范围内创建角色分配。
az synapse role assignment create --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName" --role "Synapse Administrator" \
--assignee username@contoso.com
如果你是有权在工作区上管理 Azure RBAC 角色分配但无权管理 Synapse 管理员istrator 的用户,请通过 -roleid 创建角色分类。 原因是,尝试添加“Synapse 管理员istrator”角色时,cmdlet 需要从需要工作区读取权限的角色名称(当前用户没有)获取角色 ID。
az synapse role assignment create \
--workspace-name testsynapseworkspace \
--role "6e4bf58a-b8e1-4cc3-bbf9-d73143322b78" \
--assignee username@contoso.com
必需参数
分配给主体的角色名称/ID。
工作区名称。
可选参数
表示用户或服务主体。 支持的格式:对象 ID、用户登录名称或服务主体名称。
如果权限不足,请使用此参数而不是“--assignee”来绕过图形 API 调用。 此参数仅适用于用户、组、服务主体和托管标识的对象 ID。 对于托管标识,请使用主体 ID。对于服务主体,请使用对象 ID 而不是应用 ID。
与 --assignee-object-id 一起使用,以避免 AAD Graph 中传播延迟导致的错误。
以 guid 格式的自定义角色分配 ID(如果未指定)将随机生成分配 ID。
在工作区中授予访问权限的项。 与 --item-type 结合使用分配范围。
在工作区中授予访问权限的项类型。 与 --item 结合使用分配范围。
“范围”定义将访问权限应用到的资源或项目。 Synapse 支持分层范围。 较低级别的对象会继承在更高级别的范围授予的权限。 在 Synapse RBAC 中,顶级范围是工作区。 在工作区范围分配角色会向工作区中的所有适用对象授予权限。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az synapse role assignment delete
删除工作区的角色分配。
az synapse role assignment delete --workspace-name
[--assignee]
[--assignee-object-id]
[--ids]
[--item]
[--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
[--role]
[--scope]
[--yes]
示例
按角色和被分配者删除角色分配。
az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator" --assignee sp_name
按角色 ID/名称删除角色分配。
az synapse role assignment delete --workspace-name testsynapseworkspace \
--role "Synapse Administrator"
按服务主体名称删除角色分配。
az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee sp_name
按用户主体名称删除角色分配。
az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee username@contoso.com
通过 User、Group 或服务主体的 objectId 删除角色分配。
az synapse role assignment delete --workspace-name testsynapseworkspace \
--assignee 00000000-0000-0000-0000-000000000001
按 ID 删除角色分配。
az synapse role assignment delete --workspace-name testsynapseworkspace \
--ids 10000000-0000-0000-0000-10000000-10000000-0000-0000-0000-10000000
按范围删除角色分配。
az synapse role assignment delete --workspace-name testsynapseworkspace \
--scope "workspaces/testsynapseworkspace/linkedServices/testlinkedServices"
必需参数
工作区名称。
可选参数
表示用户或服务主体。 支持的格式:对象 ID、用户登录名称或服务主体名称。
如果权限不足,请使用此参数而不是“--assignee”来绕过图形 API 调用。 此参数仅适用于用户、组、服务主体和托管标识的对象 ID。 对于托管标识,请使用主体 ID。对于服务主体,请使用对象 ID 而不是应用 ID。
空格分隔的角色分配 ID。 提供 --id 时,不应提供 --role 或 --assignee。
在工作区中授予访问权限的项。 与 --item-type 结合使用分配范围。在执行删除操作之前将 az role assignment 与筛选器条件一起使用,以便清楚地了解将删除哪些分配。
在工作区中授予访问权限的项类型。 与 --item 结合使用分配范围。在执行删除操作之前将 az role assignment 与筛选器条件一起使用,以便清楚地了解将删除哪些分配。
分配给主体的角色名称/ID。
“范围”定义将访问权限应用到的资源或项目。 Synapse 支持分层范围。 较低级别的对象会继承在更高级别的范围授予的权限。 在 Synapse RBAC 中,顶级范围是工作区。 在执行删除操作之前将 az role assignment 与筛选器条件一起使用,以便清楚地了解将删除哪些分配。
不提示确认。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az synapse role assignment list
列出角色分配。
az synapse role assignment list --workspace-name
[--assignee]
[--assignee-object-id]
[--item]
[--item-type {bigDataPools, credentials, integrationRuntimes, linkedServices}]
[--role]
[--scope]
示例
列出角色分配。
az synapse role assignment list --workspace-name testsynapseworkspace
按角色 ID/名称列出角色分配。
az synapse role assignment list --workspace-name testsynapseworkspace \
--role "Synapse Apache Spark Administrator"
按被分配者列出角色分配。
az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee sp_name
按用户、组或服务主体的 objectId 列出角色分配。
az synapse role assignment list --workspace-name testsynapseworkspace \
--assignee-object-id 00000000-0000-0000-0000-000000000000
按范围列出角色分配。
az synapse role assignment list --workspace-name testsynapseworkspace \
--scope "workspaces/{workspaceName}"
按项类型和项名称列出角色分配。
az synapse role assignment list --workspace-name testsynapseworkspace \
--item-type "bigDataPools" --item "bigDataPoolName"
必需参数
工作区名称。
可选参数
表示用户或服务主体。 支持的格式:对象 ID、用户登录名称或服务主体名称。
如果权限不足,请使用此参数而不是“--assignee”来绕过图形 API 调用。 此参数仅适用于用户、组、服务主体和托管标识的对象 ID。 对于托管标识,请使用主体 ID。对于服务主体,请使用对象 ID 而不是应用 ID。
在工作区中授予访问权限的项。 与 --item-type 结合使用分配范围。
在工作区中授予访问权限的项类型。 与 --item 结合使用分配范围。
分配给主体的角色名称/ID。
“范围”定义将访问权限应用到的资源或项目。 Synapse 支持分层范围。 较低级别的对象会继承在更高级别的范围授予的权限。 在 Synapse RBAC 中,顶级范围是工作区。 在工作区范围分配角色会向工作区中的所有适用对象授予权限。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az synapse role assignment show
按 ID 获取角色分配。
az synapse role assignment show --id
--workspace-name
示例
按 ID 获取角色分配。
az synapse role assignment show --workspace-name testsynapseworkspace \
--id 00000000-0000-0000-0000-000000000000
必需参数
分配给主体的角色的 ID。
工作区名称。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID
配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。