New-AzureRmRoleAssignment

指定したプリンシパルに、指定のスコープで、指定した RBAC ロールを割り当てます。

警告

AzureRM PowerShell モジュールは、2024 年 2 月 29 日の時点で正式に非推奨になりました。 引き続きサポートを受け、更新を受け取れるようにするために、AzureRM から Az PowerShell モジュールに移行することをお勧めします。

AzureRM モジュールは引き続き機能する可能性がありますが、メインが維持またはサポートされなくなり、ユーザーの判断とリスクで引き続き使用できます。 Az モジュールへの移行に関するガイダンスについては、移行リソースを参照してください。

構文

New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ObjectId <Guid>
   -Scope <String>
   -RoleDefinitionId <Guid>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -SignInName <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -SignInName <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ApplicationId <String>
   -ResourceGroupName <String>
   -ResourceName <String>
   -ResourceType <String>
   [-ParentResource <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]
New-AzureRmRoleAssignment
   -ApplicationId <String>
   [-Scope <String>]
   -RoleDefinitionName <String>
   [-AllowDelegation]
   [-DefaultProfile <IAzureContextContainer>]
   [<CommonParameters>]

説明

New-AzureRMRoleAssignment コマンドを使用してアクセス権を付与します。 適切な RBAC ロールを適切なスコープで割り当てることで、アクセス権が付与されます。 サブスクリプション全体へのアクセス権を付与するには、サブスクリプション スコープでロールを割り当てます。 サブスクリプション内の特定のリソース グループへのアクセスを許可するには、リソース グループ スコープでロールを割り当てます。 割り当ての件名を指定する必要があります。 ユーザーを指定するには、SignInName パラメーターまたは Microsoft Entra ObjectId パラメーターを使用します。 セキュリティ グループを指定するには、Microsoft Entra ObjectId パラメーターを使用します。 また、Microsoft Entra アプリケーションを指定するには、ApplicationId または ObjectId パラメーターを使用します。 割り当てられているロールは、RoleDefinitionName パラメーターを使用して指定する必要があります。 アクセスを許可するスコープを指定できます。 既定では、選択したサブスクリプションが使用されます。 割り当てのスコープは、次のいずれかのパラメーターの組み合わせを使用して指定できます。 スコープ - これは、/subscriptions/<subscriptionId> b で始まる完全修飾スコープです。 ResourceGroupName - 指定したリソース グループへのアクセスを許可します。 c. ResourceName、ResourceType、ResourceGroupName、および (オプションで) ParentResource - アクセス権を付与するリソース グループ内の特定のリソースを指定します。

例 1

PS C:\> New-AzureRmRoleAssignment -ResourceGroupName rg1 -SignInName allen.young@live.com -RoleDefinitionName Reader -AllowDelegation

委任に使用できるロールの割り当てを使用して、リソース グループ スコープのユーザーに閲覧者ロールのアクセス権を付与する

例 2

PS C:\> Get-AzureRMADGroup -SearchString "Christine Koch Team"

          DisplayName                    Type                           Id
          -----------                    ----                           --------
          Christine Koch Team                                           2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb

PS C:\> New-AzureRmRoleAssignment -ObjectId 2f9d4375-cbf1-48e8-83c9-2a0be4cb33fb -RoleDefinitionName Contributor  -ResourceGroupName rg1

セキュリティ グループへのアクセスを許可する

例 3

PS C:\> New-AzureRmRoleAssignment -SignInName john.doe@contoso.com -RoleDefinitionName Owner -Scope "/subscriptions/00001111-aaaa-2222-bbbb-3333cccc4444/resourcegroups/rg1/providers/Microsoft.Web/sites/site1"

リソース (Web サイト) でユーザーにアクセス権を付与する

例 4

PS C:\> New-AzureRMRoleAssignment -ObjectId 00001111-aaaa-2222-bbbb-3333cccc4444 -RoleDefinitionName "Virtual Machine Contributor" -ResourceName Devices-Engineering-ProjectRND -ResourceType Microsoft.Network/virtualNetworks/subnets -ParentResource virtualNetworks/VNET-EASTUS-01 -ResourceGroupName Network

入れ子になったリソース (サブネット) のグループへのアクセスを許可する

例 5

PS C:\> $servicePrincipal = New-AzureRmADServicePrincipal -DisplayName "testServiceprincipal"
PS C:\> New-AzureRmRoleAssignment -RoleDefinitionName "Reader" -ApplicationId $servicePrincipal.ApplicationId

サービス プリンシパルへの閲覧者アクセスを許可する

パラメーター

-AllowDelegation

ロールの割り当ての作成時の委任フラグ。

型:SwitchParameter
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-ApplicationId

ServicePrincipal のアプリケーション ID

型:String
Aliases:SPN, ServicePrincipalName
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-DefaultProfile

Azure との通信に使用される資格情報、アカウント、テナント、サブスクリプション

型:IAzureContextContainer
Aliases:AzureRmContext, AzureCredential
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-ObjectId

ユーザー、グループ、またはサービス プリンシパルの Microsoft Entra Objectid。

型:Guid
Aliases:Id, PrincipalId
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ParentResource

階層内の親リソース (ResourceName パラメーターを使用して指定されたリソースの)。 リソースを識別する相対 URI の形式で階層スコープを構築するには、ResourceGroupName、ResourceType、ResourceName パラメーターと組み合わせてのみ使用する必要があります。

型:String
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ResourceGroupName

リソース グループ名。 指定したリソース グループで有効な割り当てを作成します。 ResourceName、ResourceType、および (オプションで) ParentResource パラメーターと組み合わせて使用すると、リソースを識別する相対 URI の形式で階層スコープが構築されます。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ResourceName

リソースの名前。 例: storageaccountprod。 ResourceGroupName、ResourceType、および (必要に応じて) ParentResource パラメーターと組み合わせて使用して、リソースを識別する相対 URI の形式で階層スコープを構築する必要があります。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-ResourceType

リソースの種類。 たとえば、Microsoft.Network/virtualNetworks などです。 ResourceGroupName、ResourceName、および (必要に応じて) ParentResource パラメーターと組み合わせて使用して、リソースを識別する相対 URI の形式で階層スコープを構築する必要があります。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-RoleDefinitionId

プリンシパルに割り当てる必要がある RBAC ロールの ID。

型:Guid
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-RoleDefinitionName

プリンシパル (閲覧者、共同作成者、Virtual Network 管理istrator など) に割り当てる必要がある RBAC ロールの名前。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-Scope

ロールの割り当てのスコープ。 相対 URI の形式。 例: "/subscriptions/9004a9fd-d58e-48dc-aeb2-4a4aec58606f/resourceGroups/TestRG"。 指定しない場合は、サブスクリプション レベルでロールの割り当てを作成します。 指定した場合は、"/subscriptions/{id}" で始まる必要があります。

型:String
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

-SignInName

ユーザーの電子メール アドレスまたはユーザー プリンシパル名。

型:String
Aliases:Email, UserPrincipalName
配置:Named
規定値:None
必須:True
パイプライン入力を受け取る:True
ワイルドカード文字を受け取る:False

入力

Guid

String

出力

PSRoleAssignment

メモ

キーワード: azure, azurerm, arm, リソース, 管理, マネージャー, リソース, グループ, テンプレート, デプロイ