Поделиться через

az role definition

  • Ссылка

Управление определениями ролей.

Команды

Имя Описание Тип Состояние
az role definition create

Создайте определение настраиваемой роли.

 Ядро ГА
az role definition delete

Удаление определения роли.

 Ядро ГА
az role definition list

Вывод списка определений ролей.

 Ядро ГА
az role definition show

Отображение определения роли.

 Ядро ГА
az role definition update

Обновление определения роли.

 Ядро ГА

az role definition create

Изменить

Создайте определение настраиваемой роли.

az role definition create --role-definition

Примеры

Создайте роль с доступом только для чтения к ресурсам хранилища и сети, а также возможность запуска или перезапуска виртуальных машин. (Bash)

az role definition create --role-definition '{
    "Name": "Contoso On-call",
    "Description": "Perform VM actions and read storage and network information.",
    "Actions": [
        "Microsoft.Compute/*/read",
        "Microsoft.Compute/virtualMachines/start/action",
        "Microsoft.Compute/virtualMachines/restart/action",
        "Microsoft.Network/*/read",
        "Microsoft.Storage/*/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Support/*"
    ],
    "DataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*"
    ],
    "NotDataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
    ],
    "AssignableScopes": ["/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"]
}'

Создайте роль из файла, содержащего описание JSON.

az role definition create --role-definition @ad-role.json

Обязательные параметры

--role-definition

Описание роли в формате JSON или путь к файлу с описанием JSON.

Глобальные параметры
--debug

Увеличьте детализацию ведения журнала, чтобы отобразить все журналы отладки.

--help -h

Отображение этого сообщения справки и выхода.

--only-show-errors

Отображаются только ошибки, подавляющие предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте детализацию ведения журнала. Используйте --debug для полных журналов отладки.

az role definition delete

Изменить

Удаление определения роли.

az role definition delete --name
                          [--custom-role-only {false, true}]
                          [--resource-group]
                          [--scope]

Примеры

Удаление определения роли. (автоматическое создание)

az role definition delete --name MyRole

Обязательные параметры

--name -n

Соответствует имени определения роли (GUID) или имени роли (например, "Читатель").

Необязательные параметры

--custom-role-only

Пользовательские роли только (и только сборка).

Допустимые значения: false, true
Default value: False
--resource-group -g

Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Глобальные параметры
--debug

Увеличьте детализацию ведения журнала, чтобы отобразить все журналы отладки.

--help -h

Отображение этого сообщения справки и выхода.

--only-show-errors

Отображаются только ошибки, подавляющие предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте детализацию ведения журнала. Используйте --debug для полных журналов отладки.

az role definition list

Изменить

Вывод списка определений ролей.

az role definition list [--custom-role-only {false, true}]
                        [--name]
                        [--resource-group]
                        [--scope]

Необязательные параметры

--custom-role-only

Пользовательские роли только (и только сборка).

Допустимые значения: false, true
Default value: False
--name -n

Соответствует имени определения роли (GUID) или имени роли (например, "Читатель"). Если указан GUID, для повышения производительности используйте команду az role definition show.

--resource-group -g

Используйте его только в том случае, если роль или назначение было добавлено на уровне группы ресурсов.

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Глобальные параметры
--debug

Увеличьте детализацию ведения журнала, чтобы отобразить все журналы отладки.

--help -h

Отображение этого сообщения справки и выхода.

--only-show-errors

Отображаются только ошибки, подавляющие предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте детализацию ведения журнала. Используйте --debug для полных журналов отладки.

az role definition show

Изменить

Отображение определения роли.

az role definition show [--id]
                        [--name]
                        [--scope]

Примеры

Отображение определения роли "Читатель" с его именем (GUID).

az role definition show --scope /subscriptions/00000000-0000-0000-0000-000000000000 --name acdd72a7-3385-48ef-bd42-f606fba81ae7

Отображение определения роли "Читатель" с идентификатором ресурса.

az role definition show --id /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7

Необязательные параметры

--id

Полный идентификатор определения роли. Используйте формат , /subscriptions/{guid}/providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId} для определений ролей уровня подписки или /providers/Microsoft.Authorization/roleDefinitions/{roleDefinitionId} для определений ролей уровня клиента.

--name -n

Имя определения роли (GUID).

--scope

Область, к которой применяется назначение или определение роли, например /subscriptions/0b1f6471-1bf0-4dda-aec3-11122223333, /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup или /subscriptions/0b1f6471-1bf0-4dda-aec3-111122223333/resourceGroups/myGroup/providers/Microsoft.Compute/virtualMachines/myVM.

Глобальные параметры
--debug

Увеличьте детализацию ведения журнала, чтобы отобразить все журналы отладки.

--help -h

Отображение этого сообщения справки и выхода.

--only-show-errors

Отображаются только ошибки, подавляющие предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте детализацию ведения журнала. Используйте --debug для полных журналов отладки.

az role definition update

Изменить

Обновление определения роли.

az role definition update --role-definition

Примеры

Обновите роль с помощью выходных данных az role definition list. (Bash)

az role definition update --role-definition '{
    "roleName": "Contoso On-call",
    "Description": "Perform VM actions and read storage and network information.",
    "id": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/roleDefinitions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "roleType": "CustomRole",
    "type": "Microsoft.Authorization/roleDefinitions",
    "Actions": [
        "Microsoft.Compute/*/read",
        "Microsoft.Compute/virtualMachines/start/action",
        "Microsoft.Compute/virtualMachines/restart/action",
        "Microsoft.Network/*/read",
        "Microsoft.Storage/*/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Support/*"
    ],
    "DataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*"
    ],
    "NotDataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
    ],
    "AssignableScopes": ["/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"]
}'

Обязательные параметры

--role-definition

Описание существующей роли в формате JSON или путь к файлу, содержащему описание JSON.

Глобальные параметры
--debug

Увеличьте детализацию ведения журнала, чтобы отобразить все журналы отладки.

--help -h

Отображение этого сообщения справки и выхода.

--only-show-errors

Отображаются только ошибки, подавляющие предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в http://jmespath.org/.

--subscription

Имя или идентификатор подписки. Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Увеличьте детализацию ведения журнала. Используйте --debug для полных журналов отладки.