次の方法で共有

az role assignment

  • リファレンス

ロールの割り当てを管理します。

コマンド

名前 説明 状態
az role assignment create

ユーザー、グループ、またはサービス プリンシパルに対して、新しいロール割り当てを作成します。

 コア ジョージア州 (GA)
az role assignment delete

ロールの割り当てを削除します。

 コア ジョージア州 (GA)
az role assignment list

ロールの割り当てを一覧表示します。

 コア ジョージア州 (GA)
az role assignment list-changelogs

ロールの割り当ての変更ログを一覧表示します。

 コア ジョージア州 (GA)
az role assignment update

ユーザー、グループ、またはサービス プリンシパルの既存のロールの割り当てを更新します。

 コア ジョージア州 (GA)

az role assignment create

編集

ユーザー、グループ、またはサービス プリンシパルに対して、新しいロール割り当てを作成します。

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

ロールの割り当てを作成して、指定した担当者に Azure 仮想マシンの閲覧者ロールを付与します。

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

説明と条件を持つ担当者のロールの割り当てを作成します。

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

独自の割り当て名を使用してロールの割り当てを作成します。

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

必須のパラメーター

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups など) または /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

省略可能のパラメーター

--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--assignee-object-id

担当者のオブジェクト ID (プリンシパル ID とも呼ばれます)。 '--assignee' の代わりにこの引数を使用すると、ログインしているアカウントに権限がない場合や、マシンに Microsoft Graph をクエリするためのネットワークアクセスがない場合に、Microsoft Graph クエリをバイパスできます。

--assignee-principal-type

--assignee-object-id と共に使用して、Microsoft Graph の伝達待機時間によって発生するエラーを回避します。

指定可能な値: ForeignGroup, Group, ServicePrincipal, User
--condition
プレビュー

ユーザーにアクセス許可を付与できる条件。

--condition-version
プレビュー

条件構文のバージョン。 --condition-version を指定せずに --condition を指定した場合、既定値は 2.0 です。

--description
プレビュー

ロールの割り当ての説明。

--name -n

ロールの割り当ての GUID。 ロールの割り当てごとに一意で異なる必要があります。 省略すると、新しい GUID が生成されます。

グローバル パラメーター
--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力フォーマット。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az role assignment delete

編集

ロールの割り当てを削除します。

このコマンドは、指定されたクエリ条件を満たすすべてのロールの割り当てを削除します。 このコマンドを実行する前に、最初に同じ引数 az role assignment list 実行して、削除されるロールの割り当てを確認することを強くお勧めします。

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

サブスクリプション スコープで "閲覧者" ロールを持つすべてのロールの割り当てを削除します。

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

サブスクリプション スコープで、割り当て先のすべてのロールの割り当てを削除します。

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

サブスクリプション スコープで、担当者 (およびそのオブジェクト ID) のすべてのロール割り当てを削除します。

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

省略可能のパラメーター

--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--assignee-object-id

担当者のオブジェクト ID (プリンシパル ID とも呼ばれます)。 '--assignee' の代わりにこの引数を使用すると、ログインしているアカウントに権限がない場合や、マシンに Microsoft Graph をクエリするためのネットワークアクセスがない場合に、Microsoft Graph クエリをバイパスできます。

--ids

領域で区切られたロールの割り当て ID。

--include-inherited

親スコープに適用される割り当てを含めます。

規定値: False
--resource-group -g

ロールまたは割り当てがリソース グループのレベルで追加された場合にのみ使用します。

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups など) または /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

--yes -y

現在 no-op。

グローバル パラメーター
--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力フォーマット。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az role assignment list

編集

ロールの割り当てを一覧表示します。

既定では、サブスクリプションをスコープとする割り当てのみが表示されます。 リソースまたはグループでスコープとされている割り当てを表示するには、--all を使用します。

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

サブスクリプション スコープでロールの割り当てを一覧表示します。

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

ロールの割り当てをサブスクリプション スコープで一覧表示します (roleDefinitionName プロパティには入力しません)。

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

サブスクリプション スコープで "閲覧者" ロールを持つロールの割り当てを一覧表示します。

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

割り当て先のロールの割り当てをサブスクリプション スコープに一覧表示します。

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

assignee のロール割り当て (とそのオブジェクト ID) をサブスクリプション スコープに一覧表示します。principalName プロパティは入力しません。 このコマンドは Microsoft Graph に対してクエリを実行しません。

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

省略可能のパラメーター

--all

現在のサブスクリプションのすべての割り当てを表示します。

規定値: False
--assignee

ユーザー、グループ、またはサービス プリンシパルを表します。 サポートされている形式: オブジェクト ID、ユーザー サインイン名、またはサービス プリンシパル名。

--assignee-object-id

担当者のオブジェクト ID (プリンシパル ID とも呼ばれます)。 '--assignee' の代わりにこの引数を使用すると、ログインしているアカウントに権限がない場合や、マシンに Microsoft Graph をクエリするためのネットワークアクセスがない場合に、Microsoft Graph クエリをバイパスできます。

--fill-principal-name

Microsoft Graph にクエリを実行して、担当者の userPrincipalName (ユーザーの場合)、servicePrincipalNames (サービス プリンシパルの場合)、または displayName (グループの場合) を取得し、principalName プロパティにそれを入力します。 ログインしているアカウントにアクセス許可がない場合、またはコンピューターに Microsoft Graph をクエリするためのネットワーク アクセスがない場合は、警告やエラーを回避するために、このフラグを false に設定します。

指定可能な値: false, true
規定値: True
--fill-role-definition-name

roleDefinitionId に加えて roleDefinitionName プロパティを入力します。 この操作はコストがかかります。 パフォーマンスの問題が発生した場合は、このフラグを false に設定します。

指定可能な値: false, true
規定値: True
--include-groups

ユーザーがメンバーであるグループへの追加の割り当てを (推移的に) 含めます。

規定値: False
--include-inherited

親スコープに適用される割り当てを含めます。

規定値: False
--resource-group -g

ロールまたは割り当てがリソース グループのレベルで追加された場合にのみ使用します。

--role

ロール名または ID。

--scope

ロールの割り当てまたは定義が適用されるスコープ (/subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333、/subscriptions/0b1f6471-1bf0-4dda-aec3-11112223333/resourceGroups/myGroups など) または /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM。

グローバル パラメーター
--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力フォーマット。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az role assignment list-changelogs

編集

ロールの割り当ての変更ログを一覧表示します。

az role assignment list-changelogs [--end-time]
                                   [--start-time]

省略可能のパラメーター

--end-time

%Y-%m-%dT%H:%M:%SZ 形式のクエリの終了時刻 (例: 2000-12-31T12:59:59Z)。 既定値は現在の時刻です。

--start-time

%Y-%m-%dT%H:%M:%SZ の形式のクエリの開始時刻 (例: 2000-12-31T12:59:59Z)。 既定値は、現在の時刻の 1 時間前です。

グローバル パラメーター
--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力フォーマット。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。

az role assignment update

編集

ユーザー、グループ、またはサービス プリンシパルの既存のロールの割り当てを更新します。

az role assignment update --role-assignment

JSON ファイルからロールの割り当てを更新します。

az role assignment update --role-assignment assignment.json

JSON 文字列からロールの割り当てを更新します。 (バッシュ)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

必須のパラメーター

--role-assignment

JSON としての既存のロールの割り当て、または JSON の説明を含むファイルへのパスの説明。

グローバル パラメーター
--debug

ログの詳細度を上げて、すべてのデバッグ ログを表示します。

--help -h

このヘルプ メッセージを表示して終了します。

--only-show-errors

エラーのみを表示し、警告を抑制します。

--output -o

出力フォーマット。

指定可能な値: json, jsonc, none, table, tsv, yaml, yamlc
規定値: json
--query

JMESPath クエリ文字列。 詳細と例については、http://jmespath.org/ を参照してください。

--subscription

サブスクリプションの名前または ID。 az account set -s NAME_OR_IDを使用して既定のサブスクリプションを構成できます。

--verbose

ログの詳細度を高める。 完全なデバッグ ログには --debug を使用します。