New-AzRoleAssignment

  • Reference
Modul:
Az.Resources

Přiřadí zadanou roli RBAC zadanému objektu zabezpečení v zadaném oboru.

Rutina může volat pod rozhraním Microsoft Graph API podle vstupních parametrů:

  • GET /users/{id}
  • GET /servicePrincipals/{id}
  • GET /groups/{id}
  • GET /directoryObjects/{id}

Všimněte si, že tato rutina se označí ObjectType jako Unknown ve výstupu, pokud se nenajde objekt přiřazení role nebo aktuální účet nemá dostatečná oprávnění k získání typu objektu.

Syntaxe

New-AzRoleAssignment
   -ObjectId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ObjectId <String>
   -Scope <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-Description <String>]
   [-Condition <String>]
   [-ConditionVersion <String>]
   [-ObjectType <String>]
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzRoleAssignment
   -InputFile <String>
   [-AllowDelegation]
   [-SkipClientSideScopeValidation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

Description

K udělení přístupu použijte příkaz New-AzRoleAssignment. Přístup je udělen přiřazením příslušné role RBAC k nim ve správném rozsahu. Pokud chcete udělit přístup k celému předplatnému, přiřaďte roli v oboru předplatného. Pokud chcete udělit přístup ke konkrétní skupině prostředků v rámci předplatného, přiřaďte roli v oboru skupiny prostředků. Musí být zadán předmět přiřazení. Pokud chcete zadat uživatele, použijte parametry SignInName nebo Microsoft Entra ObjectId. Pokud chcete zadat skupinu zabezpečení, použijte parametr Microsoft Entra ObjectId. A pokud chcete zadat aplikaci Microsoft Entra, použijte parametry ApplicationId nebo ObjectId. Přiřazenou roli je nutné zadat pomocí parametru RoleDefinitionName. Je možné zadat obor, na kterém se uděluje přístup. Ve výchozím nastavení se vybrané předplatné nastaví. Rozsah přiřazení lze zadat pomocí jedné z následujících kombinací parametrů a. Rozsah – jedná se o plně kvalifikovaný obor začínající na /subscriptions/<subscriptionId> b. ResourceGroupName – udělení přístupu k zadané skupině prostředků c. ResourceName, ResourceType, ResourceGroupName a (volitelně) ParentResource – pokud chcete zadat konkrétní prostředek v rámci skupiny prostředků pro udělení přístupu.

Příklady

Příklad 1

New-AzRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

Udělení přístupu k roli Čtenář uživateli v oboru skupiny prostředků s dostupným přiřazením role pro delegování

Příklad 2

Get-AzADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

New-AzRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

Udělení přístupu ke skupině zabezpečení

Příklad 3

New-AzRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

Udělení přístupu uživateli na prostředku (webu)

Příklad 4

New-AzRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

Udělení přístupu ke skupině ve vnořeném prostředku (podsíti)

Příklad 5

$servicePrincipal = New-AzADServicePrincipal -DisplayName "testServiceprincipal"
New-AzRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

Udělení přístupu čtenáře k instančnímu objektu

Parametry

-AllowDelegation

Příznak delegování při vytváření přiřazení role.

Typ:SwitchParameter
Position:Named
Default value:False
Vyžadováno:False
Přijmout vstup kanálu:False
Přijmout zástupné znaky:False

-ApplicationId

ID aplikace servicePrincipal

Typ:String
Aliasy:SPN, ServicePrincipalName
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-Condition

Podmínka, která se má použít u roleAssignment.

Typ:String
Position:Named
Default value:None
Vyžadováno:False
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-ConditionVersion

Verze podmínky.

Typ:String
Position:Named
Default value:None
Vyžadováno:False
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-DefaultProfile

Přihlašovací údaje, účet, tenant a předplatné používané ke komunikaci s Azure

Typ:IAzureContextContainer
Aliasy:AzContext, AzureRmContext, AzureCredential
Position:Named
Default value:None
Vyžadováno:False
Přijmout vstup kanálu:False
Přijmout zástupné znaky:False

-Description

Stručný popis přiřazení role.

Typ:String
Position:Named
Default value:None
Vyžadováno:False
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-InputFile

Cesta k kódu JSON přiřazení role

Typ:String
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-ObjectId

Microsoft Entra Objectid uživatele, skupiny nebo instančního objektu.

Typ:String
Aliasy:Id, PrincipalId
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-ObjectType

To be used with ObjectId. Určuje typ objektu asignee.

Typ:String
Aliasy:PrincipalType
Position:Named
Default value:None
Vyžadováno:False
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-ParentResource

Nadřazený prostředek v hierarchii (prostředku zadaného pomocí parametru ResourceName). Měla by být použita pouze ve spojení s parametry ResourceGroupName, ResourceType a ResourceName k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:String
Position:Named
Default value:None
Vyžadováno:False
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-ResourceGroupName

Název skupiny prostředků. Vytvoří přiřazení, které je účinné v zadané skupině prostředků. Pokud se používá společně s parametry ResourceName, ResourceType a (volitelně)ParentResource, příkaz vytvoří hierarchický obor ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:String
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-ResourceName

Název prostředku. Například účet úložiště. Měly by se používat pouze ve spojení s parametry ResourceGroupName, ResourceType a (volitelně)ParentResource k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:String
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-ResourceType

Typ zdroje. Například Microsoft.Network/virtualNetworks. Měly by se používat pouze ve spojení s parametry ResourceGroupName, ResourceName a (volitelně)ParentResource k vytvoření hierarchického oboru ve formě relativního identifikátoru URI, který identifikuje prostředek.

Typ:String
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-RoleDefinitionId

ID role RBAC, která musí být přiřazena k objektu zabezpečení.

Typ:Guid
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-RoleDefinitionName

Název role RBAC, kterou je potřeba přiřadit k objektu zabezpečení, tj. čtenáři, přispěvateli, správci virtuální sítě atd.

Typ:String
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-Scope

Rozsah přiřazení role. Ve formátu relativního identifikátoru URI. Například /subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG. Pokud není zadáno, vytvoří přiřazení role na úrovni předplatného. Pokud je zadaný, měl by začínat na /subscriptions/{id}.

Typ:String
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-SignInName

E-mailová adresa nebo hlavní název uživatele.

Typ:String
Aliasy:Email, UserPrincipalName
Position:Named
Default value:None
Vyžadováno:True
Přijmout vstup kanálu:True
Přijmout zástupné znaky:False

-SkipClientSideScopeValidation

Pokud je zadáno, přeskočte ověření oboru na straně klienta.

Typ:SwitchParameter
Position:Named
Default value:None
Vyžadováno:False
Přijmout vstup kanálu:False
Přijmout zástupné znaky:False

Vstupy

String

Guid

Výstupy

PSRoleAssignment

Poznámky

Klíčová slova: azure, azurerm, arm, resource, management, manager, resource, group, template, deployment