Freigeben über


az role assignment

Verwalten von Rollenzuweisungen.

Befehle

Name Beschreibung Typ Status
az role assignment create

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

Core Allgemein verfügbar
az role assignment delete

Rollenzuweisungen löschen.

Core Allgemein verfügbar
az role assignment list

Listen Sie die Rollenzuweisungen auf:

Core Allgemein verfügbar
az role assignment list-changelogs

Listet Änderungsprotokollen für Rollenzuweisungen auf.

Core Allgemein verfügbar
az role assignment update

Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

Core Allgemein verfügbar

az role assignment create

Erstellt eine neue Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment create --role
                          --scope
                          [--assignee]
                          [--assignee-object-id]
                          [--assignee-principal-type {ForeignGroup, Group, ServicePrincipal, User}]
                          [--condition]
                          [--condition-version]
                          [--description]
                          [--name]

Beispiele

Erstellen Sie eine Rollenzuweisung, um dem angegebenen Zugewiesenen die Reader-Rolle auf einem virtuellen Azure-Computer zu gewähren.

az role assignment create --assignee sp_name --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Compute/virtualMachines/MyVm

Erstellen Sie eine Rollenzuweisung für einen Zugewiesenen mit Beschreibung und Bedingung.

az role assignment create --role Owner --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup/providers/Microsoft.Storage/storageAccounts/MyStorageAccount --assignee "John.Doe@Contoso.com" --description "Role assignment foo to check on bar" --condition "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals 'foo'" --condition-version "2.0"

Erstellen Sie eine Rollenzuweisung mit Ihrem eigenen Aufgabennamen.

az role assignment create --assignee-object-id 00000000-0000-0000-0000-000000000000 --assignee-principal-type ServicePrincipal --role Reader --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyResourceGroup --name 00000000-0000-0000-0000-000000000000

Erforderliche Parameter

--role

Rollenname oder ID.

--scope

Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Optionale Parameter

--assignee

Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--assignee-object-id

Verwenden Sie diesen Parameter anstelle von "--assignee", um graph-API-Aufrufe im Falle unzureichender Berechtigungen zu umgehen. Dieser Parameter funktioniert nur mit Objekt-IDs für Benutzer, Gruppen, Dienstprinzipale und verwaltete Identitäten. Verwenden Sie für verwaltete Identitäten die Prinzipal-ID. Verwenden Sie für Dienstprinzipale die Objekt-ID und nicht die App-ID.

--assignee-principal-type

Wird mit --assignee-object-id verwendet, um Fehler zu vermeiden, die durch die Verteilungslatenz in Microsoft Graph verursacht werden.

Zulässige Werte: ForeignGroup, Group, ServicePrincipal, User
--condition
Vorschau

Hierbei handelt es sich um die Bedingung, unter der dem Benutzer die Berechtigung erteilt werden kann.

--condition-version
Vorschau

Hierbei handelt es sich um die Version der Bedingungssyntax. If --condition is specified without --condition-version, default to 2.0.

--description
Vorschau

Beschreibung der Rollenzuweisung.

--name -n

Eine GUID für die Rollenzuweisung. Sie muss für jede Rollenzuweisung eindeutig und unterschiedlich sein. Ohne Angabe wird eine neue GUID genretd.

Globale Parameter
--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
Standardwert: json
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment delete

Rollenzuweisungen löschen.

az role assignment delete [--assignee]
                          [--ids]
                          [--include-inherited]
                          [--resource-group]
                          [--role]
                          [--scope]
                          [--yes]

Beispiele

Rollenzuweisungen löschen. (automatisch generiert)

az role assignment delete --assignee 00000000-0000-0000-0000-000000000000 --role "Storage Account Key Operator Service Role"

Optionale Parameter

--assignee

Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--ids

Leerzeichen getrennte Rollenzuweisungs-IDs.

--include-inherited

Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.

Standardwert: False
--resource-group -g

Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

--yes -y

Löschen Sie weiterhin alle Zuordnungen unter dem Abonnement.

Globale Parameter
--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
Standardwert: json
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment list

Listen Sie die Rollenzuweisungen auf:

Standardmäßig werden nur Zuweisungen im Abonnementkontext angezeigt. Zum Anzeigen von Zuweisungen im Ressourcen- oder Gruppenkontext verwenden Sie --all.

[WARNUNG] Azure Classic-Abonnementadministratoren werden am 31. August 2024 eingestellt. Nach dem 31. August 2024 riskieren alle klassischen Administratoren, den Zugriff auf das Abonnement zu verlieren. Löschen Sie klassische Administratoren, die keinen Zugriff mehr benötigen, oder weisen Sie eine Azure RBAC-Rolle für eine differenzierte Zugriffssteuerung zu. Weitere Informationen finden Sie hier: https://go.microsoft.com/fwlink/?linkid=2238474.

az role assignment list [--all]
                        [--assignee]
                        [--include-classic-administrators {false, true}]
                        [--include-groups]
                        [--include-inherited]
                        [--resource-group]
                        [--role]
                        [--scope]

Optionale Parameter

--all

Alle Zuordnungen unter dem aktuellen Abonnement anzeigen.

Standardwert: False
--assignee

Stellt einen Benutzer, eine Gruppe oder einen Dienstprinzipal dar. unterstütztes Format: Objekt-ID, Benutzeranmeldungsname oder Dienstprinzipalname.

--include-classic-administrators
Als veraltet markiert

Option "--include-classic-administrators" ist veraltet und wird in einer zukünftigen Version entfernt.

Listen Sie Standardrollenzuweisungen für klassische Abonnementadministratoren auf, auch als Co-Administratoren bezeichnet.

Zulässige Werte: false, true
Standardwert: False
--include-groups

Fügen Sie zusätzliche Zuweisungen zu den Gruppen hinzu, deren Mitglied der Benutzer ist(transitiv).

Standardwert: False
--include-inherited

Zuweisungen einschließen, die auf übergeordnete Bereiche angewendet werden.

Standardwert: False
--resource-group -g

Verwenden Sie sie nur, wenn die Rolle oder Zuordnung auf der Ebene einer Ressourcengruppe hinzugefügt wurde.

--role

Rollenname oder ID.

--scope

Bereich, für den die Rollenzuweisung oder Definition gilt, z. B. /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup oder /subscriptions/0b1f6471-1bf0-4dda-aec3-11112222333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Globale Parameter
--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
Standardwert: json
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment list-changelogs

Listet Änderungsprotokollen für Rollenzuweisungen auf.

az role assignment list-changelogs [--end-time]
                                   [--start-time]

Optionale Parameter

--end-time

Die Endzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist die aktuelle Uhrzeit.

--start-time

Die Startzeit der Abfrage im Format %Y-%m-%dT%H:%M:%SZ, z. B. 2000-12-31T12:59:59Z. Der Standardwert ist 1 Stunde vor der aktuellen Uhrzeit.

Globale Parameter
--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
Standardwert: json
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.

az role assignment update

Aktualisieren einer vorhandenen Rollenzuweisung für einen Benutzer, eine Gruppe oder einen Dienstprinzipal.

az role assignment update --role-assignment

Beispiele

Aktualisieren sie eine Rollenzuweisung aus einer JSON-Datei.

az role assignment update --role-assignment assignment.json

Aktualisieren sie eine Rollenzuweisung aus einer JSON-Zeichenfolge. (Bash)

az role assignment update --role-assignment '{
    "canDelegate": null,
    "condition": "@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:Name] stringEquals '"'"'foo'"'"'",
    "conditionVersion": "2.0",
    "description": "Role assignment foo to check on bar",
    "id": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1/providers/Microsoft.Authorization/roleAssignments/3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "name": "3eabdd43-375b-4dbd-8dc4-04acd15ce56b",
    "principalId": "00000002-0000-0000-0000-000000000000",
    "principalType": "User",
    "resourceGroup": "rg1",
    "roleDefinitionId": "/subscriptions/00000001-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
    "scope": "/subscriptions/00000001-0000-0000-0000-000000000000/resourceGroups/rg1",
    "type": "Microsoft.Authorization/roleAssignments"
}'

Erforderliche Parameter

--role-assignment

Beschreibung einer vorhandenen Rollenzuweisung als JSON oder ein Pfad zu einer Datei, die eine JSON-Beschreibung enthält.

Globale Parameter
--debug

Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.

--help -h

Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.

--only-show-errors

Nur Fehler anzeigen und Warnungen unterdrücken.

--output -o

Ausgabeformat.

Zulässige Werte: json, jsonc, none, table, tsv, yaml, yamlc
Standardwert: json
--query

JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.

--subscription

Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.

--verbose

Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.