Tindakan dan atribut otorisasi
Tindakan otorisasi
Bagian ini mencantumkan tindakan otorisasi yang didukung yang dapat Anda targetkan untuk kondisi.
Membuat atau memperbarui penetapan peran
Properti | Nilai |
---|---|
Nama tampilan | Membuat atau memperbarui penetapan peran |
Keterangan | Tindakan sarana kontrol untuk membuat penetapan peran |
Perbuatan | Microsoft.Authorization/roleAssignments/write |
Atribut sumber daya | |
Atribut permintaan | ID definisi peran ID Utama Jenis perwakilan |
Contoh | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}) Contoh: Batasi peran |
Menghapus penetapan peran
Properti | Nilai |
---|---|
Nama tampilan | Menghapus penetapan peran |
Keterangan | Tindakan sarana kontrol untuk menghapus penetapan peran |
Perbuatan | Microsoft.Authorization/roleAssignments/delete |
Atribut sumber daya | ID definisi peran ID Utama Jenis perwakilan |
Atribut permintaan | |
Contoh | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'}) Contoh: Batasi peran |
Atribut otorisasi
Bagian ini mencantumkan atribut otorisasi yang dapat Anda gunakan dalam ekspresi kondisi Anda tergantung pada tindakan yang Anda targetkan. Jika Anda memilih beberapa tindakan untuk satu kondisi, mungkin ada lebih sedikit atribut untuk dipilih untuk kondisi Anda karena atribut harus tersedia di seluruh tindakan yang dipilih.
ID definisi peran
Properti | Nilai |
---|---|
Nama tampilan | ID definisi peran |
Keterangan | ID definisi peran yang digunakan dalam penetapan peran |
Atribut | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
Sumber atribut | Minta Sumber daya |
Jenis atribut | GUID |
Operator | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
Contoh | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7} Contoh: Batasi peran |
ID Utama
Properti | Nilai |
---|---|
Nama tampilan | ID Utama |
Keterangan | ID utama yang ditetapkan ke peran. Ini memetakan ke ID di dalam Direktori Aktif. Ini dapat menunjuk ke pengguna, perwakilan layanan, atau kelompok keamanan |
Atribut | Microsoft.Authorization/roleAssignments:PrincipalId |
Sumber atribut | Minta Sumber daya |
Jenis atribut | GUID |
Operator | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
Contoh | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0} Contoh: Membatasi peran dan grup tertentu |
Jenis perwakilan
Properti | Nilai |
---|---|
Nama tampilan | Jenis perwakilan |
Keterangan | Jenis utama mewakili pengguna, grup, perwakilan layanan, atau identitas terkelola yang meminta akses ke sumber daya Azure. Anda dapat menetapkan peran ke salah satu prinsip keamanan ini |
Atribut | Microsoft.Authorization/roleAssignments:PrincipalType |
Sumber atribut | Minta Sumber daya |
Jenis atribut | STRING |
Nilai | Pengguna ServicePrincipal Grupkan |
Operator | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
Contoh | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'} Contoh: Batasi peran dan jenis utama |