Példák az Azure-szerepkör-hozzárendelések felügyeletének delegálására feltételekkel
Cikk
Ez a cikk példákat sorol fel arra, hogyan delegálhat Azure-szerepkör-hozzárendelés-kezelést más felhasználók számára feltételekkel.
Előfeltételek
A szerepkör-hozzárendelési feltételek hozzáadásának vagy szerkesztésének előfeltételeiről további információt a Feltételek előfeltételei című témakörben talál.
Példa: Szerepkörök korlátozása
Ez a feltétel lehetővé teszi, hogy a meghatalmazott csak a Biztonsági mentési közreműködő vagy a Biztonságimásolat-olvasó szerepkörökhöz adjon hozzá vagy távolítson el szerepkör-hozzárendeléseket.
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek a következő műveleteket tartalmazzák.
Az alábbiakban az Azure Portal és a feltételszerkesztő használatával adhatja hozzá ezt a feltételt.
A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának megcélzásához vegye észre, hogy két feltételt kell hozzáadnia. Két feltételt kell hozzáadnia, mert az attribútumforrás minden műveletnél eltérő. Ha mindkét műveletet ugyanabban a feltételben próbálja meg megcélezni, nem fog tudni kifejezést hozzáadni. További információ: Tünet – Nincs elérhető lehetőség hiba.
Példa: Szerepkörök és egyszerű típusok korlátozása
Ez a feltétel lehetővé teszi, hogy a meghatalmazott csak a Biztonsági mentési közreműködő vagy a Biztonságimásolat-olvasó szerepkörökhöz adjon hozzá vagy távolítson el szerepkör-hozzárendeléseket. A meghatalmazott emellett csak felhasználó vagy csoport típusú tagokhoz rendelheti ezeket a szerepköröket.
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek a következő műveleteket tartalmazzák.
Az alábbiakban az Azure Portal és a feltételszerkesztő használatával adhatja hozzá ezt a feltételt.
A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának megcélzásához vegye észre, hogy két feltételt kell hozzáadnia. Két feltételt kell hozzáadnia, mert az attribútumforrás minden műveletnél eltérő. Ha mindkét műveletet ugyanabban a feltételben próbálja meg megcélezni, nem fog tudni kifejezést hozzáadni. További információ: Tünet – Nincs elérhető lehetőség hiba.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Példa: Szerepkörök és adott csoportok korlátozása
Ez a feltétel lehetővé teszi, hogy a meghatalmazott csak a Biztonsági mentési közreműködő vagy a Biztonságimásolat-olvasó szerepkörökhöz adjon hozzá vagy távolítson el szerepkör-hozzárendeléseket. A meghatalmazott emellett csak a Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) vagy a Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0) nevű csoportokhoz rendelheti ezeket a szerepköröket.
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek a következő műveleteket tartalmazzák.
Az alábbiakban az Azure Portal és a feltételszerkesztő használatával adhatja hozzá ezt a feltételt.
A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának megcélzásához vegye észre, hogy két feltételt kell hozzáadnia. Két feltételt kell hozzáadnia, mert az attribútumforrás minden műveletnél eltérő. Ha mindkét műveletet ugyanabban a feltételben próbálja meg megcélezni, nem fog tudni kifejezést hozzáadni. További információ: Tünet – Nincs elérhető lehetőség hiba.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Példa: A virtuális gépek felügyeletének korlátozása
Ez a feltétel lehetővé teszi, hogy a meghatalmazott csak a virtuális gép Rendszergazda istrator bejelentkezési vagy virtuálisgép-felhasználói bejelentkezési szerepköreihez adjon hozzá vagy távolítson el szerepkör-hozzárendeléseket. Emellett a meghatalmazott csak egy Dara nevű felhasználóhoz rendelheti ezeket a szerepköröket (ea585310-c95c-4a68-af22-49af4363bbb1).
Ez a feltétel akkor hasznos, ha engedélyezni szeretné, hogy a meghatalmazott egy virtuálisgép-bejelentkezési szerepkört rendeljen magához egy most létrehozott virtuális géphez.
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek a következő műveleteket tartalmazzák.
Az alábbiakban az Azure Portal és a feltételszerkesztő használatával adhatja hozzá ezt a feltételt.
A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának megcélzásához vegye észre, hogy két feltételt kell hozzáadnia. Két feltételt kell hozzáadnia, mert az attribútumforrás minden műveletnél eltérő. Ha mindkét műveletet ugyanabban a feltételben próbálja meg megcélezni, nem fog tudni kifejezést hozzáadni. További információ: Tünet – Nincs elérhető lehetőség hiba.
Ez a feltétel akkor hasznos, ha lehetővé szeretné tenni, hogy egy meghatalmazott saját maga rendelje hozzá az Azure Kubernetes Service (AKS) fürt adatsík-engedélyezési szerepköreit egy most létrehozott fürthöz.
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek a következő műveleteket tartalmazzák.
Az alábbiakban az Azure Portal és a feltételszerkesztő használatával adhatja hozzá ezt a feltételt.
A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának megcélzásához vegye észre, hogy két feltételt kell hozzáadnia. Két feltételt kell hozzáadnia, mert az attribútumforrás minden műveletnél eltérő. Ha mindkét műveletet ugyanabban a feltételben próbálja meg megcélezni, nem fog tudni kifejezést hozzáadni. További információ: Tünet – Nincs elérhető lehetőség hiba.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
)
)
A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Példa: Az ACR felügyeletének korlátozása
Ez a feltétel lehetővé teszi, hogy a meghatalmazott csak az AcrPull-szerepkörhöz adjon hozzá vagy távolítson el szerepkör-hozzárendeléseket. A meghatalmazott emellett csak a szolgáltatásnév típusú egyszerű tagokhoz rendelheti ezeket a szerepköröket.
Ez a feltétel akkor hasznos, ha lehetővé szeretné tenni, hogy a fejlesztő saját maga rendelje hozzá az AcrPull-szerepkört egy felügyelt identitáshoz, hogy képeket lehessen lekérni az Azure Container Registryből (ACR).
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek a következő műveleteket tartalmazzák.
Az alábbiakban az Azure Portal és a feltételszerkesztő használatával adhatja hozzá ezt a feltételt.
A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának megcélzásához vegye észre, hogy két feltételt kell hozzáadnia. Két feltételt kell hozzáadnia, mert az attribútumforrás minden műveletnél eltérő. Ha mindkét műveletet ugyanabban a feltételben próbálja meg megcélezni, nem fog tudni kifejezést hozzáadni. További információ: Tünet – Nincs elérhető lehetőség hiba.
Ez a feltétel lehetővé teszi, hogy a meghatalmazott csak a biztonsági mentési közreműködői vagy a biztonsági mentési olvasó szerepkörökhöz adjon hozzá szerepkör-hozzárendeléseket. A meghatalmazott eltávolíthatja a szerepkör-hozzárendeléseket.
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek tartalmazzák az alábbi műveletet.
Ez a feltétel akkor hasznos, ha engedélyezni szeretné, hogy a meghatalmazott a legtöbb szerepkört hozzárendelje, de nem engedélyezi a meghatalmazott számára a szerepkörök hozzárendelését.
Feljegyzés
Ezt a feltételt körültekintően kell alkalmazni. Ha később hozzáad egy új beépített vagy egyéni szerepkört, amely tartalmazza a szerepkör-hozzárendelések létrehozására vonatkozó engedélyt, ez a feltétel nem akadályozná meg a meghatalmazottat a szerepkörök hozzárendelésében. A feltételt frissíteni kell, hogy tartalmazza az új beépített vagy egyéni szerepkört.
Ezt a feltételt hozzá kell adnia a meghatalmazott szerepkör-hozzárendeléseihez, amelyek a következő műveleteket tartalmazzák.
Az alábbiakban az Azure Portal és a feltételszerkesztő használatával adhatja hozzá ezt a feltételt.
A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának megcélzásához vegye észre, hogy két feltételt kell hozzáadnia. Két feltételt kell hozzáadnia, mert az attribútumforrás minden műveletnél eltérő. Ha mindkét műveletet ugyanabban a feltételben próbálja meg megcélezni, nem fog tudni kifejezést hozzáadni. További információ: Tünet – Nincs elérhető lehetőség hiba.
