Azioni e attributi di autorizzazione
Azioni di autorizzazione
Questa sezione elenca le azioni di autorizzazione supportate che è possibile impostare come destinazione per le condizioni.
Creare o aggiornare le assegnazioni di ruolo
| Proprietà | valore |
|---|---|
| Nome visualizzato | Creare o aggiornare le assegnazioni di ruolo |
| Descrizione | Azione del piano di controllo per la creazione di assegnazioni di ruolo |
| Azione | Microsoft.Authorization/roleAssignments/write |
| Attributi delle risorse | |
| Attributi della richiesta | Un ID di definizione del ruolo ID entità di sicurezza Tipo di entità |
| Esempi | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Esempio: Vincolare i ruoli |
Eliminare un'assegnazione di ruolo
| Proprietà | valore |
|---|---|
| Nome visualizzato | Eliminare un'assegnazione di ruolo |
| Descrizione | Azione del piano di controllo per l'eliminazione delle assegnazioni di ruolo |
| Azione | Microsoft.Authorization/roleAssignments/delete |
| Attributi delle risorse | Un ID di definizione del ruolo ID entità di sicurezza Tipo di entità |
| Attributi della richiesta | |
| Esempi | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Esempio: Vincolare i ruoli |
Attributi di autorizzazione
Questa sezione elenca gli attributi di autorizzazione che è possibile usare nelle espressioni di condizione a seconda dell'azione di destinazione. Se si selezionano più azioni per una singola condizione, potrebbero esserci meno attributi tra cui scegliere per la condizione perché gli attributi devono essere disponibili tra le azioni selezionate.
Un ID di definizione del ruolo
| Proprietà | valore |
|---|---|
| Nome visualizzato | Un ID di definizione del ruolo |
| Descrizione | ID definizione del ruolo usato nell'assegnazione di ruolo |
| Attributo | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Origine attributo | Richiedi Conto risorse |
| Tipo di attributo | GUID |
| Operatori | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Esempi | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Esempio: Vincolare i ruoli |
ID entità di sicurezza
| Proprietà | valore |
|---|---|
| Nome visualizzato | ID entità di sicurezza |
| Descrizione | ID entità assegnato al ruolo. Viene eseguito il mapping all'ID all'interno di Active Directory. Può puntare a un utente, a un'entità servizio o a un gruppo di sicurezza |
| Attributo | Microsoft.Authorization/roleAssignments:PrincipalId |
| Origine attributo | Richiedi Conto risorse |
| Tipo di attributo | GUID |
| Operatori | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Esempi | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Esempio: Vincolare ruoli e gruppi specifici |
Tipo di entità
| Proprietà | valore |
|---|---|
| Nome visualizzato | Tipo di entità |
| Descrizione | Il tipo di entità rappresenta un utente, un gruppo, un'entità servizio o un'identità gestita che richiede l'accesso alle risorse di Azure. È possibile assegnare un ruolo a una di queste entità di sicurezza |
| Attributo | Microsoft.Authorization/roleAssignments:PrincipalType |
| Origine attributo | Richiedi Conto risorse |
| Tipo di attributo | STRING |
| Valori | User ServicePrincipal Raggruppa |
| Operatori | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Esempi | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Esempio: Vincolare ruoli e tipi di entità |