Действия и атрибуты авторизации

Действия авторизации

В этом разделе перечислены поддерживаемые действия авторизации, которые можно использовать для условий.

Создание или обновление назначений ролей

Нацеливает это действие на управление разрешениями для создания или обновления назначений ролей. Это действие применяется как к добавлению новых назначений ролей, так и обновлению существующих назначений ролей.

Недвижимость Ценность
Отображаемое имя Создание или обновление назначений ролей
Описание Действие уровня управления для создания назначений ролей
Действие Microsoft.Authorization/roleAssignments/write
Атрибуты ресурсов
Атрибуты запроса Идентификатор определения роли
Идентификатор субъекта
Основной тип
Примеры !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
Пример: ограничение ролей

Удалить назначение роли

Нацелим это действие на управление разрешениями на удаление назначений ролей. Это действие применяется к удалению существующих назначений ролей.

Недвижимость Ценность
Отображаемое имя Удалить назначение роли
Описание Действие уровня управления для удаления назначений ролей
Действие Microsoft.Authorization/roleAssignments/delete
Атрибуты ресурсов Идентификатор определения роли
Идентификатор субъекта
Основной тип
Атрибуты запроса
Примеры !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
Пример: ограничение ролей

Атрибуты авторизации

В этом разделе перечислены атрибуты авторизации, которые можно использовать в выражениях условий в зависимости от целевого действия. Если вы выберете несколько действий для одного условия, количество доступных атрибутов для этого условия может уменьшиться, поскольку атрибуты должны быть доступны во всех выбранных действиях.

Идентификатор определения роли

Недвижимость Ценность
Отображаемое имя Идентификатор определения роли
Описание Идентификатор определения роли, используемый в назначении роли
Атрибут Microsoft.Authorization/roleAssignments:RoleDefinitionId
Источник атрибутов Просьба
Ресурс
Тип атрибута GUID
Operators GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Примеры @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}
Пример: ограничение ролей

Идентификатор принципала

Недвижимость Ценность
Отображаемое имя Идентификатор принципала
Описание Идентификатор субъекта, назначенный роли. Это сопоставляется с идентификатором внутри Active Directory. Он может указывать на пользователя, субъекта-службу или группу безопасности.
Атрибут Microsoft.Authorization/roleAssignments:PrincipalId
Источник атрибутов Просьба
Ресурс
Тип атрибута GUID
Operators GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Примеры @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
Пример. Ограничение ролей и определенных групп

Основной тип

Недвижимость Ценность
Отображаемое имя Основной тип
Описание Тип субъекта представляет пользователя, группу, субъект-службу или управляемое удостоверение, запрашивающее доступ к ресурсам Azure. Вы можете назначить роль любому из этих субъектов безопасности.
Атрибут Microsoft.Authorization/roleAssignments:PrincipalType
Источник атрибутов Просьба
Ресурс
Тип атрибута STRING
Значения Пользователь
ServicePrincipal
Группа
Operators StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
ForAnyOfAnyValues:StringEqualsIgnoreCase
ForAnyOfAllValues:StringNotEqualsIgnoreCase
Примеры @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
Пример. Ограничение ролей и типов субъектов

Дальнейшие действия

  • Last updated on