События
Присоединение к вызову ИИ Навыков
8 апр., 15 - 28 мая, 07
Отточите свои навыки ИИ и введите подметки, чтобы выиграть бесплатный экзамен сертификации
Зарегистрируйтесь!Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как и назначение роли, назначение запрета прикрепляет набор действий, направленных на запрет, к пользователю, группе или прикладному субъекту в определенной сфере с целью запрета доступа. Запрещающие назначения блокируют выполнение определенных действий ресурсов Azure пользователями, даже если назначение роли предоставляет им доступ.
В этой статье описывается, как составить список отказанных назначений.
Важно!
Вы не можете создавать собственные назначения отказа напрямую. Назначения типа "запрет" создаются и управляются Azure.
Назначения с запретом создаются и управляются в Azure для защиты ресурсов. Вы не можете создавать собственные назначения отказа напрямую. Однако при создании стека развертывания можно указать параметры запрета, которое создает назначение запрета, принадлежащее ресурсам стека развертывания. Дополнительные сведения см. в разделе "Защита управляемых ресурсов " и ограничений Azure RBAC.
Назначения запретов похожи на назначения ролей, но имеют некоторые отличия.
| Возможность | Назначение ролей | Отказ от назначения |
|---|---|---|
| Предоставление доступа | ✅ | |
| Запрет доступа | ✅ | |
| Может быть создано напрямую | ✅ | |
| Применить в определённой области | ✅ | ✅ |
| Исключение основных участников | ✅ | |
| Предотвращение наследования в дочерние области | ✅ | |
| Подать заявку на назначения администраторов классических подписок | ✅ |
Отказ в назначении имеет следующие свойства:
| Свойство | Обязательное поле | Тип | Описание |
|---|---|---|---|
DenyAssignmentName |
Да | Строка | Отображаемое имя отказа в назначении. Имена должны быть уникальными в заданной области. |
Description |
Нет | Строка | Описание запрета назначения. |
Permissions.Actions |
Минимум один Actions или один DataActions. | String[] | Массив строк, определяющих действия в плоскости управления, на которые распространяется запрещение доступа на уровне назначения. |
Permissions.NotActions |
Нет | String[] | Массив строк, указывающих действие уровня управления, которое следует исключить из назначения запрета. |
Permissions.DataActions |
Минимум один Actions или один DataActions. | String[] | Массив строк, указывающих действия на плоскости данных, доступ к которым блокируется через отказ в назначении. |
Permissions.NotDataActions |
Нет | String[] | Массив строк, указывающих действия плоскости данных, которые следует исключить из назначения запрета. |
Scope |
Нет | Строка | Строка, определяющая область, к которой применяется запрет назначения. |
DoNotApplyToChildScopes |
Нет | Логический | Указывает, применяется ли отказ в назначении к дочерним областям. По умолчанию используется значение false. |
Principals[i].Id |
Да | String[] | Массив идентификаторов основного объекта Microsoft Entra (пользователя, группы, субъекта-службы или управляемого удостоверения), к которым применяется отказ в назначении. Установите пустой GUID (00000000-0000-0000-0000-000000000000) для представления всех участников. |
Principals[i].Type |
Нет | String[] | Массив типов объектов, представленных значениями Principals[i].Id. Установите значение SystemDefined, чтобы представить всех субъектов. |
ExcludePrincipals[i].Id |
Нет | String[] | Массив идентификаторов основных объектов Microsoft Entra (пользователь, группа, субъект-службы или управляемое удостоверение), к которому запретное назначение не применяется. |
ExcludePrincipals[i].Type |
Нет | String[] | Массив типов объектов, представленный ExcludePrincipals[i].Id. |
IsSystemProtected |
Нет | Логический | Определяет, было ли назначение запрета создано Microsoft Azure и, следовательно, не может быть изменено или удалено. В настоящее время все запретные назначения защищены системой. |
Для поддержки отказа в назначениях был представлен системно определенный субъект с именем All Principals. Этот объект представляет всех пользователей, группы, служебные субъекты и управляемые удостоверения в каталоге Microsoft Entra. Если идентификатор субъекта имеет нулевое значение GUID (00000000-0000-0000-0000-000000000000), а тип субъекта — SystemDefined, субъект представляет все субъекты. В выходных данных Azure PowerShell объект "Все участники" выглядит следующим образом:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Все принципы можно сочетать с ExcludePrincipals, чтобы запретить всем субъектам, кроме некоторых пользователей. Все главные субъекты имеют следующие ограничения:
- Может использоваться только в
Principalsи не может использоваться вExcludePrincipals. - Для параметра
Principals[i].Typeнужно задать значениеSystemDefined.
Выполните следующие действия, чтобы получить список отказов в назначениях.
Важно!
Вы не можете создавать собственные назначения отказа напрямую. Назначения типа "запрет" создаются и управляются Azure. Дополнительные сведения см. в разделе "Защита управляемых ресурсов от удаления".
Чтобы получить сведения о назначении запрета, вам потребуется:
- Разрешение
Microsoft.Authorization/denyAssignments/read, входящее в большинство встроенных ролей Azure.
Следуйте следующим шагам, чтобы перечислить отклоненные назначения в области группы управления или подписки.
В портал Azure откройте выбранную область, например группу ресурсов или подписку.
Выберите Управление доступом (IAM).
Выберите вкладку "Запретить назначения" (или нажмите кнопку "Просмотр" на плитке "Запретить назначения").
Если в этой области или наследуются какие-либо запретные назначения, они будут перечислены.
Чтобы отобразить дополнительные столбцы, выберите "Изменить столбцы".
Столбец Описание Имя Имя отклоненного назначения. Основной тип Пользователь, группа, группа, определяемая системой, или служебный субъект. Отказано Имя субъекта безопасности, который содержится в отказе в назначении. Идентификатор Уникальный идентификатор запрещающего назначения. Исключенные субъекты Субъекты безопасности (если есть), для которых действуют исключения из этого запрещающего назначения. Не применяется к детям Определяет, распространяется ли запрещающее назначение на вложенные области. Система защищена Управляется ли запрещающее назначение платформой Azure. В настоящее время всегда "Да". Объем Группа управления, подписка, группа ресурсов или ресурс. Добавьте флажок в любой из включенных элементов и нажмите кнопку "ОК ", чтобы отобразить выбранные столбцы.
Выполните следующие действия, чтобы перечислить дополнительные детали о назначении запрета.
Откройте область "Запретить назначения", как описано в предыдущем разделе.
Выберите имя запрета назначения, чтобы открыть страницу "Пользователи ".
Страница "Пользователи" содержит следующие два раздела.
Отклонить настройку Описание Запрет назначения применяется к Список субъектов безопасности, для которых действует это запрещающее назначение. Исключения для запрещения назначения Субъекты безопасности, для которых действуют исключения из этого запрещающего назначения. System-Defined Principal представляет всех пользователей, группы, сервисные принципы и управляемые удостоверения в каталоге Azure AD.
Чтобы просмотреть список запрещенных разрешений, выберите " Отказано в разрешениях".
Тип действия Описание Действия Отказано в действиях уровня управления. NotActions Действия плоскости управления являются исключением из списка запрещённых действий уровня управления. DataActions Отказ в действиях плоскости передачи данных. NotDataActions Действия плоскости данных не включены в список запрещенных действий плоскости данных. В примере на предыдущем снимке экрана действуют следующие разрешения.
- Все операции хранения на уровне данных запрещены, за исключением операций вычисления.
Чтобы просмотреть свойства для назначения запрета, выберите "Свойства".
На странице Свойства можно увидеть имя отказа в назначении, идентификатор, описание и область. Параметр "Не применяется к детям" указывает, наследуется ли назначение запрета к подобластям. Системная защита переключатель указывает, управляется ли это назначение запрета через Azure. В настоящее время это да во всех случаях.