Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.
Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.
Tato podmínka umožňuje delegátu přidávat nebo odebírat pouze přiřazení rolí přispěvatele zálohování nebo čtenáře zálohování. Delegát může také tyto role přiřadit pouze objektům zabezpečení typu uživatele nebo skupiny.
Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.
Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.
Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
Tady je postup přidání této podmínky pomocí Azure PowerShellu.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Příklad: Omezení rolí a konkrétních skupin
Tato podmínka umožňuje delegátu přidávat nebo odebírat pouze přiřazení rolí přispěvatele zálohování nebo čtenáře zálohování. Delegát může tyto role přiřadit jenom konkrétním skupinám s názvem Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) nebo Prodej (86951b8b-723a-407b-a74a-1bca3f0c95d0).
Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.
Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.
Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.
Tato podmínka je užitečná, když chcete delegátovi povolit, aby sám sobě přiřadil roli přihlášení virtuálního počítače pro virtuální počítač, který právě vytvořil.
Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.
Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.
Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.
Tato podmínka je užitečná, když chcete delegátovi povolit přiřazení rolí autorizace roviny dat clusteru Azure Kubernetes Service (AKS) pro cluster, který právě vytvořil.
Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.
Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.
Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
Tady je postup přidání této podmínky pomocí Azure PowerShellu.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Příklad: Omezení správy ACR
Tato podmínka umožňuje delegátu přidávat nebo odebírat pouze přiřazení rolí pro roli AcrPull . Delegát může také přiřadit tyto role pouze objektům zabezpečení typu instančního objektu.
Tato podmínka je užitečná, když chcete vývojáři povolit přiřazení role AcrPull k spravované identitě sami, aby mohl načíst image ze služby Azure Container Registry (ACR).
Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.
Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.
Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
Tady je postup přidání této podmínky pomocí Azure PowerShellu.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Příklad: Omezení přidání přiřazení rolí
Tato podmínka umožňuje delegátu přidávat pouze přiřazení rolí pro role Přispěvatel zálohování nebo Čtenář zálohování. Delegát může odebrat všechna přiřazení rolí.
Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akci.
Tato podmínka je užitečná, když chcete delegátu povolit přiřazování většiny rolí, ale nepovolit delegáta, aby přiřazovat role ostatním.
Poznámka:
Tento stav by se měl používat s opatrností. Pokud se později přidá nová předdefinovaná nebo vlastní role, která obsahuje oprávnění k vytváření přiřazení rolí, tato podmínka nezabrání delegátovi v přiřazování rolí. Podmínku je potřeba aktualizovat tak, aby zahrnovala novou předdefinované nebo vlastní roli.
Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.
Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.
Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
