أمثلة لتفويض إدارة تعيين دور Azure مع الشروط

تسرد هذه المقالة أمثلة حول كيفية تفويض إدارة تعيين دور Azure للمستخدمين الآخرين الذين لديهم شروط.

المتطلبات الأساسية

للحصول على معلومات حول المتطلبات الأساسية لإضافة شروط تعيين الدور أو تحريرها، انظر الشروط المطلوبة.

مثال: تقييد الأدوار

يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور فقط لأدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

القالب

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure وقالب شرط.

الشرط	الإعدادات
Template	تقييد الأدوار
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي

الشرط رقم 2	الإعدادات
الإجراءات	حذف تعيين دور
مصدر السمة	Resource
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

مثال: تقييد الأدوار والأنواع الأساسية

يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور فقط لأدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط إلى أساسيات نوع المستخدم أو المجموعة.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

القالب

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure وقالب شرط.

الشرط	الإعدادات
Template	تقييد الأدوار والأنواع الأساسية
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي
الأنواع الأساسية	المستخدمون المجموعات

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي
عامل تشغيل	و
Expression 2
مصدر السمة	طلب
السمة	النوع الأساسي
عامل تشغيل	ForAnyOfAnyValues:StringEqualsIgnoreCase
القيمة‬	المستخدم Group (المجموعة)

الشرط رقم 2	الإعدادات
الإجراءات	حذف تعيين دور
مصدر السمة	Resource
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي
عامل تشغيل	و
Expression 2
مصدر السمة	Resource
السمة	النوع الأساسي
عامل تشغيل	ForAnyOfAnyValues:StringEqualsIgnoreCase
القيمة‬	المستخدم Group (المجموعة)

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

مثال: تقييد الأدوار والمجموعات المحددة

يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور فقط لأدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط لمجموعات معينة تسمى Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) أو Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0).

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

القالب

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure وقالب شرط.

الشرط	الإعدادات
Template	تقييد الأدوار والكيانات
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي
الأساسيات	Marketing Sales

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي
عامل تشغيل	و
Expression 2
مصدر السمة	طلب
السمة	المعرف الأساسي
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأساسيات	Marketing Sales

الشرط رقم 2	الإعدادات
الإجراءات	حذف تعيين دور
مصدر السمة	Resource
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي
عامل تشغيل	و
Expression 2
مصدر السمة	Resource
السمة	المعرف الأساسي
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأساسيات	Marketing Sales

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

مثال: تقييد إدارة الجهاز الظاهري

يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور فقط لأدوار تسجيل الدخول إلى الجهاز الظاهري مسؤول istrator أو تسجيل دخول مستخدم الجهاز الظاهري. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط لمستخدم معين يسمى Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

هذا الشرط مفيد عندما تريد السماح للمفوض بتعيين دور تسجيل دخول جهاز ظاهري لأنفسهم لجهاز ظاهري أنشأوه للتو.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

القالب

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure وقالب شرط.

الشرط	الإعدادات
Template	تقييد الأدوار والكيانات
الأدوار	تسجيل دخول مسؤول istrator للجهاز الظاهري تسجيل دخول مستخدم الجهاز الظاهري
الأساسيات	دارا

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	تسجيل دخول مسؤول istrator للجهاز الظاهري تسجيل دخول مستخدم الجهاز الظاهري
عامل تشغيل	و
Expression 2
مصدر السمة	طلب
السمة	المعرف الأساسي
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأساسيات	دارا

الشرط رقم 2	الإعدادات
الإجراءات	حذف تعيين دور
مصدر السمة	Resource
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	تسجيل دخول مسؤول istrator للجهاز الظاهري تسجيل دخول مستخدم الجهاز الظاهري
عامل تشغيل	و
Expression 2
مصدر السمة	Resource
السمة	المعرف الأساسي
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأساسيات	دارا

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

مثال: تقييد إدارة نظام مجموعة AKS

يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الأدوار فقط ل Azure Kubernetes Service RBAC مسؤول أو Azure Kubernetes Service RBAC Cluster مسؤول أو Azure Kubernetes Service RBAC Reader أو أدوار Azure Kubernetes Service RBAC Writer. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط لمستخدم معين يسمى Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

هذا الشرط مفيد عندما تريد السماح للمفوض بتعيين أدوار تخويل مستوى بيانات مجموعة Azure Kubernetes Service (AKS) لأنفسهم لنظام مجموعة أنشأوه للتو.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

القالب

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure وقالب شرط.

الشرط	الإعدادات
Template	تقييد الأدوار والكيانات
الأدوار	azure Kubernetes Service RBAC مسؤول مسؤول نظام مجموعة التحكم في الوصول استنادا إلى الدور لخدمة Azure Kubernetes قارئ التحكم في الوصول استنادا إلى الدور لخدمة Azure Kubernetes Azure Kubernetes Service RBAC Writer
الأساسيات	دارا

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	azure Kubernetes Service RBAC مسؤول مسؤول نظام مجموعة التحكم في الوصول استنادا إلى الدور لخدمة Azure Kubernetes قارئ التحكم في الوصول استنادا إلى الدور لخدمة Azure Kubernetes Azure Kubernetes Service RBAC Writer
عامل تشغيل	و
Expression 2
مصدر السمة	طلب
السمة	المعرف الأساسي
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأساسيات	دارا

الشرط رقم 2	الإعدادات
الإجراءات	حذف تعيين دور
مصدر السمة	Resource
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	azure Kubernetes Service RBAC مسؤول مسؤول نظام مجموعة التحكم في الوصول استنادا إلى الدور لخدمة Azure Kubernetes قارئ التحكم في الوصول استنادا إلى الدور لخدمة Azure Kubernetes Azure Kubernetes Service RBAC Writer
عامل تشغيل	و
Expression 2
مصدر السمة	Resource
السمة	المعرف الأساسي
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأساسيات	دارا

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

مثال: تقييد إدارة ACR

يسمح هذا الشرط للمفوض بإضافة أو إزالة تعيينات الدور لدور AcrPull فقط. أيضا، يمكن للمفوض تعيين هذه الأدوار فقط إلى أساسيات كيان خدمة النوع.

هذا الشرط مفيد عندما تريد السماح لمطور بتعيين دور AcrPull إلى هوية مدارة نفسها بحيث يمكن سحب الصور من Azure Container Registry (ACR).

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

القالب

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure وقالب شرط.

الشرط	الإعدادات
Template	تقييد الأدوار والأنواع الأساسية
الأدوار	AcrPull
الأنواع الأساسية	كيانات الخدمة

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	AcrPull
عامل تشغيل	و
Expression 2
مصدر السمة	طلب
السمة	النوع الأساسي
عامل تشغيل	ForAnyOfAnyValues:StringEqualsIgnoreCase
القيمة‬	ServicePrincipal

الشرط رقم 2	الإعدادات
الإجراءات	حذف تعيين دور
مصدر السمة	Resource
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي
عامل تشغيل	و
Expression 2
مصدر السمة	Resource
السمة	النوع الأساسي
عامل تشغيل	ForAnyOfAnyValues:StringEqualsIgnoreCase
القيمة‬	ServicePrincipal

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

مثال: تقييد إضافة تعيينات الأدوار

يسمح هذا الشرط للمفوض بإضافة تعيينات الأدوار فقط لأدوار مساهم النسخ الاحتياطي أو قارئ النسخ الاحتياطي. يمكن للمفوض إزالة أي تعيينات دور.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراء التالي.

• Microsoft.Authorization/roleAssignments/write

القالب

بلا

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAnyValues:GuidEquals
المقارنة	القيمة‬
الأدوار	مساهم النسخ الاحتياطي قارئ النسخ الاحتياطي

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

مثال: السماح لمعظم الأدوار، ولكن لا تسمح للآخرين بتعيين الأدوار

يسمح هذا الشرط للمفوض بإضافة تعيينات الأدوار أو إزالتها لجميع الأدوار باستثناء أدوار المالك والتحكم في الوصول المستند إلى الدور مسؤول istrator ووصول المستخدم مسؤول istrator.

هذا الشرط مفيد عندما تريد السماح للمفوض بتعيين معظم الأدوار، ولكن لا يسمح للمفوض بالسماح للآخرين بتعيين الأدوار.

إشعار

يجب استخدام هذا الشرط بحذر. إذا تمت إضافة دور مضمن أو مخصص جديد لاحقا يتضمن الإذن لإنشاء تعيينات الأدوار، فلن يمنع هذا الشرط المفوض من تعيين الأدوار. يجب تحديث الشرط لتضمين الدور المضمن أو المخصص الجديد.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار للمفوض تتضمن الإجراءات التالية.

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete

القالب

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure وقالب شرط.

الشرط	الإعدادات
Template	السماح للجميع باستثناء أدوار محددة
استبعاد الأدوار	المالك عنصر التحكم في الوصول المستند إلى الدور مسؤول istrator المسؤول عن وصول المستخدم

محرر الشرط

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure ومحرر الشرط.

لاستهداف إجراءات تعيين الدور وإزالة كليهما، لاحظ أنه يجب إضافة شرطين. يجب إضافة شرطين لأن مصدر السمة مختلف لكل إجراء. إذا حاولت استهداف كلا الإجراءين في نفس الحالة، فلن تتمكن من إضافة تعبير. لمزيد من المعلومات، راجع العرض - لا توجد خيارات خطأ متوفرة.

الشرط رقم 1	الإعدادات
الإجراءات	إنشاء تعيينات الأدوار أو تحديثها
مصدر السمة	طلب
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAllValues:GuidNotEquals
المقارنة	القيمة‬
الأدوار	المالك عنصر التحكم في الوصول المستند إلى الدور مسؤول istrator المسؤول عن وصول المستخدم

الشرط رقم 2	الإعدادات
الإجراءات	حذف تعيين دور
مصدر السمة	Resource
السمة	معرف تعريف الدور
عامل تشغيل	ForAnyOfAllValues:GuidNotEquals
المقارنة	القيمة‬
الأدوار	المالك عنصر التحكم في الوصول المستند إلى الدور مسؤول istrator المسؤول عن وصول المستخدم

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
 )
)

Azure PowerShell

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

الخطوات التالية

• إجراءات التخويل وسماته
• تنسيق حالة تعيين دور Azure وبناء الجملة
• استكشاف أخطاء شروط تعيين دور Azure وإصلاحها