Acciones y atributos de autorización
Acciones de autorización
En esta sección se enumeran las acciones de autorización admitidas que puede tener como destino las condiciones.
Crear o actualizar asignaciones de roles
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Crear o actualizar asignaciones de roles |
| Descripción | Acción del plano de control para crear asignaciones de roles |
| Action | Microsoft.Authorization/roleAssignments/write |
| Atributos del recurso | |
| Atributos de solicitud | Identificador de definición de roles Identificador de entidad de seguridad Tipo de entidad de seguridad |
| Ejemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Ejemplo: Restringir roles |
Eliminación de una asignación de roles
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Eliminación de una asignación de roles |
| Descripción | Acción del plano de control para eliminar asignaciones de roles |
| Action | Microsoft.Authorization/roleAssignments/delete |
| Atributos del recurso | Identificador de definición de roles Identificador de entidad de seguridad Tipo de entidad de seguridad |
| Atributos de solicitud | |
| Ejemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Ejemplo: Restringir roles |
Atributos de autorización
En esta sección se enumeran los atributos de autorización que puede usar en las expresiones de condición en función de la acción que tenga como destino. Si selecciona varias acciones para una sola condición, puede que haya menos atributos para elegir para la condición, ya que los atributos deben estar disponibles en las acciones seleccionadas.
Id. de definición de roles
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Id. de definición de roles |
| Descripción | Identificador de definición de roles usado en la asignación de roles |
| Atributo | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Origen del atributo | Solicitud Resource |
| Tipo de atributo | GUID |
| Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAnyValues:GuidNotEquals |
| Ejemplos | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Ejemplo: Restringir roles |
Identificador de entidad de seguridad
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Identificador de entidad de seguridad |
| Descripción | Identificador de entidad de seguridad asignado al rol. Esto se asigna al identificador dentro de Active Directory. Puede apuntar a un usuario, una entidad de servicio o un grupo de seguridad. |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalId |
| Origen del atributo | Solicitud Resource |
| Tipo de atributo | GUID |
| Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAnyValues:GuidNotEquals |
| Ejemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Ejemplo: Restringir roles y grupos específicos |
Tipo de entidad de seguridad
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Tipo de entidad de seguridad |
| Descripción | El tipo de entidad de seguridad representa un usuario, grupo, entidad de servicio o identidad administrada que solicita acceso a los recursos de Azure. Puede asignar un rol a cualquiera de estas entidades de seguridad. |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalType |
| Origen del atributo | Solicitud Resource |
| Tipo de atributo | STRING |
| Valores | Usuario ServicePrincipal Group (Grupo) |
| Operadores | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAnyValues:StringNotEqualsIgnoreCase |
| Ejemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Ejemplo: Restricción de roles y tipos de entidad de seguridad |