Acciones y atributos de autorización

Acciones de autorización

En esta sección se enumeran las acciones de autorización admitidas que puede tener como destino las condiciones.

Crear o actualizar asignaciones de roles

Propiedad Value
Nombre para mostrar Crear o actualizar asignaciones de roles
Descripción Acción del plano de control para crear asignaciones de roles
Action Microsoft.Authorization/roleAssignments/write
Atributos del recurso
Atributos de solicitud Identificador de definición de roles
Identificador de entidad de seguridad
Tipo de entidad de seguridad
Ejemplos !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
Ejemplo: Restricción de roles

Eliminación de una asignación de roles

Propiedad Value
Nombre para mostrar Eliminación de una asignación de roles
Descripción Acción del plano de control para eliminar asignaciones de roles
Action Microsoft.Authorization/roleAssignments/delete
Atributos del recurso Identificador de definición de roles
Identificador de entidad de seguridad
Tipo de entidad de seguridad
Atributos de solicitud
Ejemplos !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
Ejemplo: Restricción de roles

Atributos de autorización

En esta sección se enumeran los atributos de autorización que puede usar en las expresiones de condición en función de la acción que tenga como destino. Si selecciona varias acciones para una sola condición, puede que haya menos atributos para elegir para la condición, ya que los atributos deben estar disponibles en las acciones seleccionadas.

Identificador de definición de roles

Propiedad Value
Nombre para mostrar Identificador de definición de roles
Descripción Identificador de definición de roles usado en la asignación de roles
Atributo Microsoft.Authorization/roleAssignments:RoleDefinitionId
Origen del atributo Solicitud
Resource
Tipo de atributo GUID
Operadores GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Ejemplos @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}
Ejemplo: Restricción de roles

Identificador de entidad de seguridad

Propiedad Value
Nombre para mostrar Identificador de entidad de seguridad
Descripción Identificador de entidad de seguridad asignado al rol. Esto se asigna al identificador dentro de Active Directory. Puede apuntar a un usuario, una entidad de servicio o un grupo de seguridad
Atributo Microsoft.Authorization/roleAssignments:PrincipalId
Origen del atributo Solicitud
Resource
Tipo de atributo GUID
Operadores GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Ejemplos @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
Ejemplo: restricción de roles y grupos específicos

Tipo de entidad de seguridad

Propiedad Value
Nombre para mostrar Tipo de entidad de seguridad
Descripción El tipo de entidad de seguridad representa un usuario, grupo, entidad de servicio o identidad administrada que solicita acceso a los recursos de Azure. Puede asignar un rol a cualquiera de estas entidades de seguridad
Atributo Microsoft.Authorization/roleAssignments:PrincipalType
Origen del atributo Solicitud
Resource
Tipo de atributo STRING
Valores Usuario
ServicePrincipal
Grupo
Operadores StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
ForAnyOfAnyValues:StringEqualsIgnoreCase
ForAnyOfAllValues:StringNotEqualsIgnoreCase
Ejemplos @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
Ejemplo: restricción de roles y tipos de entidad de seguridad

Pasos siguientes