Udostępnij za pośrednictwem


Akcje autoryzacji i atrybuty

Akcje autoryzacji

W tej sekcji wymieniono obsługiwane akcje autoryzacji, dla których można kierować warunki.

Tworzenie lub aktualizowanie przypisań ról

Właściwości Wartość
Nazwa wyświetlana Tworzenie lub aktualizowanie przypisań ról
Opis Akcja płaszczyzny sterowania na potrzeby tworzenia przypisań ról
Akcja Microsoft.Authorization/roleAssignments/write
Atrybuty zasobów
Atrybuty żądania Identyfikator definicji roli
Identyfikator podmiotu zabezpieczeń
Typ podmiotu zabezpieczeń
Przykłady !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
Przykład: role ograniczeń

Usuwanie przypisania roli

Właściwości Wartość
Nazwa wyświetlana Usuwanie przypisania roli
Opis Akcja płaszczyzny sterowania dotycząca usuwania przypisań ról
Akcja Microsoft.Authorization/roleAssignments/delete
Atrybuty zasobów Identyfikator definicji roli
Identyfikator podmiotu zabezpieczeń
Typ podmiotu zabezpieczeń
Atrybuty żądania
Przykłady !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
Przykład: role ograniczeń

Atrybuty autoryzacji

W tej sekcji wymieniono atrybuty autoryzacji, których można użyć w wyrażeniach warunku w zależności od akcji docelowej. Jeśli wybierzesz wiele akcji dla jednego warunku, może istnieć mniej atrybutów do wyboru dla warunku, ponieważ atrybuty muszą być dostępne w wybranych akcjach.

Identyfikator definicji roli

Właściwości Wartość
Nazwa wyświetlana Identyfikator definicji roli
Opis Identyfikator definicji roli używany w przypisaniu roli
Atrybut Microsoft.Authorization/roleAssignments:RoleDefinitionId
Źródło atrybutu Żądanie
Zasób
Typ atrybutu Identyfikator GUID
Operatory GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Przykłady @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}
Przykład: role ograniczeń

Identyfikator podmiotu zabezpieczeń

Właściwości Wartość
Nazwa wyświetlana Identyfikator podmiotu zabezpieczeń
Opis Identyfikator podmiotu zabezpieczeń przypisany do roli. Spowoduje to mapowania na identyfikator wewnątrz usługi Active Directory. Może wskazywać użytkownika, jednostkę usługi lub grupę zabezpieczeń
Atrybut Microsoft.Authorization/roleAssignments:PrincipalId
Źródło atrybutu Żądanie
Zasób
Typ atrybutu Identyfikator GUID
Operatory GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Przykłady @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
Przykład: ograniczenia ról i określonych grup

Typ nazwy głównej

Właściwości Wartość
Nazwa wyświetlana Typ nazwy głównej
Opis Typ podmiotu zabezpieczeń reprezentuje użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną żądającą dostępu do zasobów platformy Azure. Rolę można przypisać do dowolnego z tych podmiotów zabezpieczeń
Atrybut Microsoft.Authorization/roleAssignments:PrincipalType
Źródło atrybutu Żądanie
Zasób
Typ atrybutu CIĄG
Wartości User
ServicePrincipal
Grupuj
Operatory StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
ForAnyOfAnyValues:StringEqualsIgnoreCase
ForAnyOfAllValues:StringNotEqualsIgnoreCase
Przykłady @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
Przykład: ograniczenia ról i typów podmiotów zabezpieczeń

Następne kroki