다음을 통해 공유

az role assignment

역할 할당을 관리합니다.

명령

Name Description 형식 상태
az role assignment create

사용자, 그룹 또는 서비스 사용자에 대한 새 역할 할당을 만듭니다.

 Core GA
az role assignment delete

역할 할당을 삭제합니다.

 Core GA
az role assignment list

역할 할당을 나열합니다.

 Core GA
az role assignment list-changelogs

역할 할당에 대한 변경 로그를 나열합니다.

 Core GA
az role assignment update

사용자, 그룹 또는 서비스 주체에 대한 기존 역할 할당을 업데이트합니다.

 Core GA

az role assignment create

편집

사용자, 그룹 또는 서비스 사용자에 대한 새 역할 할당을 만듭니다.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

예제

Azure 가상 머신에서 지정된 담당자에게 읽기 권한자 역할을 부여하는 역할 할당을 만듭니다.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

설명 및 조건이 있는 담당자에 대한 역할 할당을 만듭니다.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

고유한 할당 이름을 사용하여 역할 할당을 만듭니다.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

필수 매개 변수

--role

역할 이름 또는 ID입니다.

--scope

역할 할당 또는 정의가 적용되는 범위(예: /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333) /subscriptions/0b1f6471-1bf0-4dda-aec3-1111122223333/resourceGroups/myGroup 또는 /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

선택적 매개 변수

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

사용자, 그룹 또는 서비스 주체를 나타냅니다. 지원되는 형식: 개체 ID, 사용자 로그인 이름 또는 서비스 주체 이름입니다.

--assignee-object-id

담당자의 개체 ID(주체 ID라고도 함)입니다. 로그인한 계정에 권한이 없거나 컴퓨터에 Microsoft Graph를 쿼리할 수 있는 네트워크 액세스 권한이 없는 경우 Microsoft Graph 쿼리를 무시하려면 '--assignee' 대신 이 인수를 사용합니다.

--assignee-principal-type

--assignee-object-id와 함께 사용하여 Microsoft Graph의 전파 대기 시간으로 인한 오류를 방지합니다.

속성
허용되는 값: ForeignGroup, Group, ServicePrincipal, User
--condition
미리 보기

사용자에게 사용 권한을 부여할 수 있는 조건입니다.

--condition-version
미리 보기

조건 구문의 버전입니다. --condition-version 없이 --condition을 지정하면 기본적으로 2.0입니다.

--description
미리 보기

역할 할당에 대한 설명입니다.

--name -n

역할 할당에 대한 GUID입니다. 각 역할 할당에 대해 고유하고 달라야 합니다. 생략하면 새 GUID가 생성됩니다.

전역 매개 변수
--debug

로깅 수위를 높여 모든 디버그 로그를 표시합니다.

속성
Default value: False
--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

경고를 표시하지 않고 오류만 표시합니다.

속성
Default value: False
--output -o

출력 형식

속성
Default value: json
허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath 쿼리 문자열입니다. 자세한 내용 및 예제는 http://jmespath.org/ 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID사용하여 기본 구독을 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 증가시킵니다. 전체 디버그 로그에 --debug를 사용합니다.

속성
Default value: False

az role assignment delete

편집

역할 할당을 삭제합니다.

이 명령은 제공된 쿼리 조건을 충족하는 모든 역할 할당을 삭제합니다. 이 명령을 실행하기 전에 먼저 동일한 인수를 사용하여 az role assignment list 실행하여 삭제할 역할 할당을 확인하는 것이 좋습니다.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

예제

구독 범위에서 "읽기 권한자" 역할을 사용하여 모든 역할 할당을 삭제합니다.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

구독 범위에서 담당자의 모든 역할 할당을 삭제합니다.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

구독 범위에서 담당자의 모든 역할 할당(개체 ID 포함)을 삭제합니다.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

선택적 매개 변수

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

사용자, 그룹 또는 서비스 주체를 나타냅니다. 지원되는 형식: 개체 ID, 사용자 로그인 이름 또는 서비스 주체 이름입니다.

--assignee-object-id

담당자의 개체 ID(주체 ID라고도 함)입니다. 로그인한 계정에 권한이 없거나 컴퓨터에 Microsoft Graph를 쿼리할 수 있는 네트워크 액세스 권한이 없는 경우 Microsoft Graph 쿼리를 무시하려면 '--assignee' 대신 이 인수를 사용합니다.

--ids

공백으로 구분된 역할 할당 ID입니다.

--include-inherited

부모 범위에 적용된 할당을 포함합니다.

속성
Default value: False
--resource-group -g

역할 또는 할당이 리소스 그룹 수준에서 추가된 경우에만 사용합니다.

--role

역할 이름 또는 ID입니다.

--scope

역할 할당 또는 정의가 적용되는 범위(예: /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333) /subscriptions/0b1f6471-1bf0-4dda-aec3-1111122223333/resourceGroups/myGroup 또는 /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

현재 no-op.

전역 매개 변수
--debug

로깅 수위를 높여 모든 디버그 로그를 표시합니다.

속성
Default value: False
--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

경고를 표시하지 않고 오류만 표시합니다.

속성
Default value: False
--output -o

출력 형식

속성
Default value: json
허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath 쿼리 문자열입니다. 자세한 내용 및 예제는 http://jmespath.org/ 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID사용하여 기본 구독을 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 증가시킵니다. 전체 디버그 로그에 --debug를 사용합니다.

속성
Default value: False

az role assignment list

편집

역할 할당을 나열합니다.

기본적으로 구독 범위의 할당만 표시됩니다. 리소스 또는 그룹별로 범위가 지정된 할당을 보려면 .를 사용합니다 --all.

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

예제

구독 범위에서 역할 할당을 나열합니다.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

roleDefinitionName 속성을 채우지 않고 구독 범위에서 역할 할당을 나열합니다.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

구독 범위에서 "읽기 권한자" 역할이 있는 역할 할당을 나열합니다.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

구독 범위에서 담당자의 역할 할당을 나열합니다.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

principalName 속성을 채우지 않고 구독 범위에서 담당자의 역할 할당(개체 ID 포함)을 나열합니다. 이 명령은 Microsoft Graph를 쿼리하지 않습니다.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

선택적 매개 변수

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--all

현재 구독 아래에 모든 할당을 표시합니다.

속성
Default value: False
--assignee

사용자, 그룹 또는 서비스 주체를 나타냅니다. 지원되는 형식: 개체 ID, 사용자 로그인 이름 또는 서비스 주체 이름입니다.

--assignee-object-id

담당자의 개체 ID(주체 ID라고도 함)입니다. 로그인한 계정에 권한이 없거나 컴퓨터에 Microsoft Graph를 쿼리할 수 있는 네트워크 액세스 권한이 없는 경우 Microsoft Graph 쿼리를 무시하려면 '--assignee' 대신 이 인수를 사용합니다.

--fill-principal-name

Microsoft Graph를 쿼리하여 담당자의 userPrincipalName(사용자), servicePrincipalNames(서비스 주체) 또는 displayName(그룹)을 가져온 다음 principalName 속성을 채웁니다. 로그인한 계정에 권한이 없거나 컴퓨터에 Microsoft Graph를 쿼리할 수 있는 네트워크 액세스 권한이 없는 경우 경고 또는 오류를 방지하기 위해 이 플래그를 false로 설정합니다.

속성
Default value: True
허용되는 값: false, true
--fill-role-definition-name

roleDefinitionId 외에 roleDefinitionName 속성을 채웁니다. 이 작업은 비용이 많이 듭니다. 성능 문제가 발생하면 이 플래그를 false로 설정합니다.

속성
Default value: True
허용되는 값: false, true
--include-groups

사용자가 구성원인 그룹에 대한 추가 할당을 포함합니다(전이적으로).

속성
Default value: False
--include-inherited

부모 범위에 적용된 할당을 포함합니다.

속성
Default value: False
--resource-group -g

역할 또는 할당이 리소스 그룹 수준에서 추가된 경우에만 사용합니다.

--role

역할 이름 또는 ID입니다.

--scope

역할 할당 또는 정의가 적용되는 범위(예: /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333) /subscriptions/0b1f6471-1bf0-4dda-aec3-1111122223333/resourceGroups/myGroup 또는 /subscriptions/0b1f6471-1bf0-4dda-aec3-1111222223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

전역 매개 변수
--debug

로깅 수위를 높여 모든 디버그 로그를 표시합니다.

속성
Default value: False
--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

경고를 표시하지 않고 오류만 표시합니다.

속성
Default value: False
--output -o

출력 형식

속성
Default value: json
허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath 쿼리 문자열입니다. 자세한 내용 및 예제는 http://jmespath.org/ 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID사용하여 기본 구독을 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 증가시킵니다. 전체 디버그 로그에 --debug를 사용합니다.

속성
Default value: False

az role assignment list-changelogs

편집

역할 할당에 대한 변경 로그를 나열합니다.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

선택적 매개 변수

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--end-time

%Y-%m-%dT%H:%M:%SZ 형식의 쿼리 종료 시간(예: 2000-12-31T12:59:59Z)입니다. 기본값은 현재 시간입니다.

--start-time

%Y-%m-%dT%H:%M:%SZ 형식의 쿼리 시작 시간(예: 2000-12-31T12:59:59Z)입니다. 현재 시간 이전의 기본값은 1시간입니다.

전역 매개 변수
--debug

로깅 수위를 높여 모든 디버그 로그를 표시합니다.

속성
Default value: False
--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

경고를 표시하지 않고 오류만 표시합니다.

속성
Default value: False
--output -o

출력 형식

속성
Default value: json
허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath 쿼리 문자열입니다. 자세한 내용 및 예제는 http://jmespath.org/ 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID사용하여 기본 구독을 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 증가시킵니다. 전체 디버그 로그에 --debug를 사용합니다.

속성
Default value: False

az role assignment update

편집

사용자, 그룹 또는 서비스 주체에 대한 기존 역할 할당을 업데이트합니다.

az role assignment update --role-assignment

예제

JSON 파일에서 역할 할당을 업데이트합니다.

az role assignment update --role-assignment assignment.json

JSON 문자열에서 역할 할당을 업데이트합니다. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

필수 매개 변수

--role-assignment

기존 역할 할당을 JSON으로 설명하거나 JSON 설명을 포함하는 파일의 경로입니다.

전역 매개 변수
--debug

로깅 수위를 높여 모든 디버그 로그를 표시합니다.

속성
Default value: False
--help -h

이 도움말 메시지를 표시하고 종료합니다.

--only-show-errors

경고를 표시하지 않고 오류만 표시합니다.

속성
Default value: False
--output -o

출력 형식

속성
Default value: json
허용되는 값: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath 쿼리 문자열입니다. 자세한 내용 및 예제는 http://jmespath.org/ 참조하세요.

--subscription

구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID사용하여 기본 구독을 구성할 수 있습니다.

--verbose

로깅의 자세한 정도를 증가시킵니다. 전체 디버그 로그에 --debug를 사용합니다.

속성
Default value: False