Freigeben über

az role assignment

Verwalten von Rollenzuweisungen.

Befehle

Name Beschreibung Typ Status
az role assignment create

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

 Core GA
az role assignment delete

Rollenzuweisungen löschen.

 Core GA
az role assignment list

Listen Sie die Rollenzuweisungen auf:

 Core GA
az role assignment list-changelogs

Listet Änderungsprotokollen für Rollenzuweisungen auf.

 Core GA
az role assignment update

Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

 Core GA

az role assignment create

Bearbeiten

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Beispiele

Erstellen Sie eine Rollenzuweisung, um dem angegebenen Zugewiesenen die Reader-Rolle auf einem virtuellen Azure-Computer zu gewähren.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Erstellen Sie eine Rollenzuweisung für einen Zugewiesenen mit Beschreibung und Bedingung.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Erstellen Sie eine Rollenzuweisung mit Ihrem eigenen Aufgabennamen.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--role

Rollenname oder ID.

--scope

Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Optionale Parameter

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Die Objekt-ID des Beauftragten (auch als Prinzipal-ID bezeichnet). Verwenden Sie dieses Argument anstelle von '--assignee', um die Microsoft Graph-Abfrage zu umgehen, falls das angemeldete Konto keine Berechtigung hat oder der Computer keinen Netzwerkzugriff zum Abfragen von Microsoft Graph hat.

--assignee-principal-type

Wird mit --assignee-object-id verwendet, um Fehler zu vermeiden, die durch die Verteilungslatenz in Microsoft Graph verursacht werden.

Eigenschaft Wert
Zulässige Werte: ForeignGroup, Group, ServicePrincipal, User
--condition
Vorschau

Hierbei handelt es sich um die Bedingung, unter der dem Benutzer die Berechtigung erteilt werden kann.

--condition-version
Vorschau

Hierbei handelt es sich um die Version der Bedingungssyntax. Wenn --condition ohne --condition-version angegeben wird, wird standardmäßig 2.0 verwendet.

--description
Vorschau

Beschreibung der Rollenzuweisung.

--name -n

Eine GUID für die Rollenzuweisung. Sie muss für jede Rollenzuweisung eindeutig und unterschiedlich sein. Wenn diese Angabe weggelassen wird, wird eine neue GUID generiert.

Globale Parameter
--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

Eigenschaft Wert
Standardwert: False
--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

Eigenschaft Wert
Standardwert: False
--output -o

Ausgabeformat.

Eigenschaft Wert
Standardwert: json
Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

Eigenschaft Wert
Standardwert: False

az role assignment delete

Bearbeiten

Rollenzuweisungen löschen.

Mit diesem Befehl werden alle Rollenzuweisungen gelöscht, die die bereitgestellte Abfragebedingung erfüllen. Vor dem Ausführen dieses Befehls wird dringend empfohlen, az role assignment list zuerst mit denselben Argumenten auszuführen, um festzustellen, welche Rollenzuweisungen gelöscht werden.

az role assignment delete [--assignee]
                          [--assignee-object-id]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Beispiele

Löschen Sie alle Rollenzuweisungen mit der Rolle "Leser" im Abonnementbereich.

az role assignment delete --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Löschen Sie alle Rollenzuweisungen eines Zugewiesenen im Abonnementbereich.

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Löschen Sie alle Rollenzuweisungen eines Beauftragten (mit seiner Objekt-ID) auf Abonnementebene.

az role assignment delete --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Optionale Parameter

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--assignee

Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Die Objekt-ID des Beauftragten (auch als Prinzipal-ID bezeichnet). Verwenden Sie dieses Argument anstelle von '--assignee', um die Microsoft Graph-Abfrage zu umgehen, falls das angemeldete Konto keine Berechtigung hat oder der Computer keinen Netzwerkzugriff zum Abfragen von Microsoft Graph hat.

--ids

Leerzeichen getrennte Rollenzuweisungs-IDs.

--include-inherited

Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.

Eigenschaft Wert
Standardwert: False
--resource-group -g

Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Derzeit no-op.

Globale Parameter
--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

Eigenschaft Wert
Standardwert: False
--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

Eigenschaft Wert
Standardwert: False
--output -o

Ausgabeformat.

Eigenschaft Wert
Standardwert: json
Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

Eigenschaft Wert
Standardwert: False

az role assignment list

Bearbeiten

Listen Sie die Rollenzuweisungen auf:

Standardmäßig werden nur Zuweisungen im Abonnementkontext angezeigt. Zum Anzeigen von Zuweisungen im Ressourcen- oder Gruppenkontext verwenden Sie --all.

az role assignment list [--all]
                        [--assignee]
                        [--assignee-object-id]
                        [--fill-principal-name {false, true}]
                        [--fill-role-definition-name {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Beispiele

Auflisten von Rollenzuweisungen im Abonnementbereich.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000

Listen Sie Rollenzuweisungen im Abonnementbereich auf, ohne die roleDefinitionName-Eigenschaft auszufüllen.

az role assignment list --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-role-definition-name false

Listen Sie Rollenzuweisungen mit der Rolle "Leser" auf Abonnementebene auf.

az role assignment list --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000

Auflisten der Rollenzuweisungen eines Beauftragten auf Abonnementebene.

az role assignment list --assignee 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000

Auflisten der Rollenzuweisungen eines Beauftragten (mit seiner Objekt-ID) im Abonnementbereich, ohne die principalName-Eigenschaft auszufüllen. Mit diesem Befehl wird Microsoft Graph nicht abgefragt.

az role assignment list --assignee-object-id 00000000-0000-0000-0000-000000000000 --scope /subscriptions/00000000-0000-0000-0000-000000000000 --fill-principal-name false

Optionale Parameter

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--all

Alle Zuordnungen unter dem aktuellen Abonnement anzeigen.

Eigenschaft Wert
Standardwert: False
--assignee

Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Die Objekt-ID des Beauftragten (auch als Prinzipal-ID bezeichnet). Verwenden Sie dieses Argument anstelle von '--assignee', um die Microsoft Graph-Abfrage zu umgehen, falls das angemeldete Konto keine Berechtigung hat oder der Computer keinen Netzwerkzugriff zum Abfragen von Microsoft Graph hat.

--fill-principal-name

Fragen Sie Microsoft Graph ab, um userPrincipalName (für Benutzer), servicePrincipalNames (für Dienstprinzipal) oder displayName (für Gruppe) des Beauftragten abzurufen, und füllen Sie dann die principalName-Eigenschaft damit aus. Wenn das angemeldete Konto über keine Berechtigung verfügt oder der Computer keinen Netzwerkzugriff zum Abfragen von Microsoft Graph hat, legen Sie dieses Flag auf false fest, um Warnungen oder Fehler zu vermeiden.

Eigenschaft Wert
Standardwert: True
Zulässige Werte: false, true
--fill-role-definition-name

Füllen Sie die roleDefinitionName-Eigenschaft zusätzlich zu roleDefinitionId aus. Dieser Vorgang ist teuer. Wenn ein Leistungsproblem auftritt, legen Sie dieses Flag auf false fest.

Eigenschaft Wert
Standardwert: True
Zulässige Werte: false, true
--include-groups

Fügen Sie den Gruppen, in denen der Benutzer Mitglied ist, zusätzliche Zuweisungen hinzu (transitiv).

Eigenschaft Wert
Standardwert: False
--include-inherited

Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.

Eigenschaft Wert
Standardwert: False
--resource-group -g

Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Globale Parameter
--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

Eigenschaft Wert
Standardwert: False
--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

Eigenschaft Wert
Standardwert: False
--output -o

Ausgabeformat.

Eigenschaft Wert
Standardwert: json
Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

Eigenschaft Wert
Standardwert: False

az role assignment list-changelogs

Bearbeiten

Listet Änderungsprotokollen für Rollenzuweisungen auf.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Optionale Parameter

The following parameters are optional, but depending on the context, one or more might become required for the command to execute successfully.

--end-time

Die Endzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist die aktuelle Uhrzeit.

--start-time

Die Startzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist 1 Stunde vor der aktuellen Uhrzeit.

Globale Parameter
--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

Eigenschaft Wert
Standardwert: False
--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

Eigenschaft Wert
Standardwert: False
--output -o

Ausgabeformat.

Eigenschaft Wert
Standardwert: json
Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

Eigenschaft Wert
Standardwert: False

az role assignment update

Bearbeiten

Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment update --role-assignment

Beispiele

Aktualisieren sie eine Rollenzuweisung aus einer JSON-Datei.

az role assignment update --role-assignment assignment.json

Aktualisieren sie eine Rollenzuweisung aus einer JSON-Zeichenfolge. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Erforderliche Parameter

--role-assignment

Beschreibung einer vorhandenen Rollenzuweisung als JSON oder ein Pfad zu einer Datei, die eine JSON-Beschreibung enthält.

Globale Parameter
--debug

Erhöhen Sie die Ausführlichkeit der Protokollierung, um alle Debugprotokolle anzuzeigen.

Eigenschaft Wert
Standardwert: False
--help -h

Diese Hilfemeldung anzeigen und schließen.

--only-show-errors

Nur Fehler anzeigen, Warnungen unterdrücken.

Eigenschaft Wert
Standardwert: False
--output -o

Ausgabeformat.

Eigenschaft Wert
Standardwert: json
Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Name oder ID des Abonnements. Sie können das Standardabonnement mithilfe von az account set -s NAME_OR_IDkonfigurieren.

--verbose

Erhöhen Sie die Ausführlichkeit der Protokollierung. Verwenden Sie "-debug" für vollständige Debugprotokolle.

Eigenschaft Wert
Standardwert: False