Udostępnij za pośrednictwem


Wyświetlanie listy przypisań odmowy platformy Azure

Podobnie jak przypisanie roli, przypisanie odmowy dołącza zestaw akcji odmowy do użytkownika, grupy lub jednostki usługi w określonym zakresie w celu odmowy dostępu. Przypisania odmowy uniemożliwiają użytkownikom wykonywanie określonych akcji na zasobach platformy Azure, nawet jeśli przypisanie roli daje im taki dostęp.

W tym artykule opisano sposób wyświetlania listy przypisań odmowy.

Ważne

Nie można bezpośrednio tworzyć własnych przypisań odmowy. Przypisania odmowy są tworzone i zarządzane przez platformę Azure.

Jak są tworzone przypisania odmowy

Przypisania odmowy są tworzone i zarządzane przez platformę Azure w celu ochrony zasobów. Nie można bezpośrednio tworzyć własnych przypisań odmowy. Można jednak określić ustawienia odmowy podczas tworzenia stosu wdrożenia, co powoduje utworzenie przypisania odmowy należącego do zasobów stosu wdrożenia. Stosy wdrażania są obecnie dostępne w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Ochrona zasobów zarządzanych przed usunięciem.

Porównanie przypisań ról i przypisań odmowy

Przypisania odmowy są zgodne z podobnym wzorcem, jak przypisania ról, ale także mają pewne różnice.

Możliwość Przypisanie roli Przypisanie odmowy
Udzielanie dostępu
Odmów dostępu
Można utworzyć bezpośrednio
Stosowanie w zakresie
Wykluczanie podmiotów zabezpieczeń
Zapobieganie dziedziczeniu do zakresów podrzędnych
Zastosuj do klasycznych przypisań administratora subskrypcji

Odmów właściwości przypisania

Przypisanie odmowy ma następujące właściwości:

Właściwości Wymagania Type Opis
DenyAssignmentName Tak String Nazwa wyświetlana przypisania odmowy. Nazwy muszą być unikatowe dla danego zakresu.
Description Nie. String Opis przypisania odmowy.
Permissions.Actions Co najmniej jedna akcja lub jedna akcja DataActions Ciąg[] Tablica ciągów określających akcje płaszczyzny sterowania, do których przypisanie odmowy blokuje dostęp.
Permissions.NotActions Nie. Ciąg[] Tablica ciągów określających akcję płaszczyzny sterowania do wykluczenia z przypisania odmowy.
Permissions.DataActions Co najmniej jedna akcja lub jedna akcja DataActions Ciąg[] Tablica ciągów określających akcje płaszczyzny danych, do których przypisanie odmowy blokuje dostęp.
Permissions.NotDataActions Nie. Ciąg[] Tablica ciągów określających akcje płaszczyzny danych do wykluczenia z przypisania odmowy.
Scope Nie. String Ciąg określający zakres, do którego ma zastosowanie przypisanie odmowy.
DoNotApplyToChildScopes Nie. Wartość logiczna Określa, czy przypisanie odmowy ma zastosowanie do zakresów podrzędnych. Wartość domyślna to false.
Principals[i].Id Tak Ciąg[] Tablica identyfikatorów obiektów głównych firmy Microsoft Entra (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej), do których ma zastosowanie przypisanie odmowy. Ustaw wartość pustego identyfikatora GUID 00000000-0000-0000-0000-000000000000 , aby reprezentować wszystkie podmioty zabezpieczeń.
Principals[i].Type Nie. Ciąg[] Tablica typów obiektów reprezentowanych przez podmioty zabezpieczeń[i].Id. Ustaw na wartość , aby reprezentować SystemDefined wszystkie podmioty zabezpieczeń.
ExcludePrincipals[i].Id Nie. Ciąg[] Tablica identyfikatorów obiektów głównych firmy Microsoft Entra (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej), do których przypisanie odmowy nie ma zastosowania.
ExcludePrincipals[i].Type Nie. Ciąg[] Tablica typów obiektów reprezentowanych przez element ExcludePrincipals[i].Id.
IsSystemProtected Nie. Wartość logiczna Określa, czy to przypisanie odmowy zostało utworzone przez platformę Azure i nie można go edytować ani usunąć. Obecnie wszystkie przypisania odmowy są chronione przez system.

Podmiot zabezpieczeń wszystkich podmiotów zabezpieczeń

Aby obsługiwać przypisania odmowy, wprowadzono podmiot zabezpieczeń zdefiniowany przez system o nazwie Wszystkie podmioty zabezpieczeń . Ten podmiot zabezpieczeń reprezentuje wszystkich użytkowników, grupy, jednostki usługi i tożsamości zarządzane w katalogu firmy Microsoft Entra. Jeśli identyfikator podmiotu zabezpieczeń ma zerowy identyfikator GUID 00000000-0000-0000-0000-000000000000 , a typ podmiotu zabezpieczeń to SystemDefined, podmiot zabezpieczeń reprezentuje wszystkie podmioty zabezpieczeń. W danych wyjściowych programu Azure PowerShell wszystkie podmioty zabezpieczeń wyglądają następująco:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Wszystkie podmioty zabezpieczeń można łączyć w ExcludePrincipals celu odmowy wszystkich podmiotów zabezpieczeń z wyjątkiem niektórych użytkowników. Wszystkie podmioty zabezpieczeń mają następujące ograniczenia:

  • Można używać tylko w programie Principals i nie można go używać w programie ExcludePrincipals.
  • Principals[i].Type musi być ustawiona na SystemDefined.

Lista przypisań odmowy

Wykonaj następujące kroki, aby wyświetlić listę przypisań odmowy.

Ważne

Nie można bezpośrednio tworzyć własnych przypisań odmowy. Przypisania odmowy są tworzone i zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Ochrona zasobów zarządzanych przed usunięciem.

Wymagania wstępne

Aby uzyskać informacje o przypisaniu odmowy, musisz mieć następujące elementy:

  • Microsoft.Authorization/denyAssignments/read uprawnienie, które jest uwzględniane w większości wbudowanych ról platformy Azure.

Wyświetlanie listy przypisań odmowy w witrynie Azure Portal

Wykonaj następujące kroki, aby wyświetlić listę przypisań odmowy w zakresie subskrypcji lub grupy zarządzania.

  1. W witrynie Azure Portal otwórz wybrany zakres, taki jak grupa zasobów lub subskrypcja.

  2. Wybierz pozycję Kontrola dostępu (IAM) .

  3. Wybierz kartę Odmów przypisań (lub wybierz przycisk Wyświetl przypisania odmowy na kafelku Wyświetl przypisania odmowy).

    Jeśli istnieją jakiekolwiek przypisania odmowy w tym zakresie lub dziedziczone do tego zakresu, zostaną one wyświetlone.

    Zrzut ekranu przedstawiający stronę Kontrola dostępu (IAM) i kartę Odmów przypisań, która wyświetla listę przypisań odmowy w wybranym zakresie.

  4. Aby wyświetlić dodatkowe kolumny, wybierz pozycję Edytuj kolumny.

    Zrzut ekranu przedstawiający okienko kolumn odmowy przypisania, w których pokazano, jak dodać kolumny do listy przypisań odmowy.

    Kolumna Opis
    Nazwa/nazwisko Nazwa przypisania odmowy.
    Typ podmiotu zabezpieczeń Użytkownik, grupa, grupa zdefiniowana przez system lub jednostka usługi.
    Odmówiony Nazwa podmiotu zabezpieczeń uwzględnionego w przypisaniu odmowy.
    Id Unikatowy identyfikator przypisania odmowy.
    Wykluczone podmioty zabezpieczeń Czy istnieją podmioty zabezpieczeń wykluczone z przypisania odmowy.
    Nie dotyczy elementów podrzędnych Określa, czy przypisanie odmowy jest dziedziczone do podzakresów.
    Ochrona systemu Czy przypisanie odmowy jest zarządzane przez platformę Azure. Obecnie zawsze tak.
    Scope Grupa zarządzania, subskrypcja, grupa zasobów lub zasób.
  5. Dodaj znacznik wyboru do dowolnego z włączonych elementów, a następnie wybierz przycisk OK , aby wyświetlić wybrane kolumny.

Wyświetlanie szczegółów dotyczących przypisania odmowy

Wykonaj następujące kroki, aby wyświetlić dodatkowe szczegóły dotyczące przypisania odmowy.

  1. Otwórz okienko Odmów przypisań zgodnie z opisem w poprzedniej sekcji.

  2. Wybierz nazwę przypisania odmowy, aby otworzyć stronę Użytkownicy .

    Zrzut ekranu przedstawiający stronę Użytkownicy dla przypisania odmowy, w którym znajduje się lista dotyczy i wyklucza.

    Strona Użytkownicy zawiera następujące dwie sekcje.

    Ustawienie Odmowy opis
    Przypisanie odmowy ma zastosowanie do Podmioty zabezpieczeń, do których ma zastosowanie przypisanie odmowy.
    Wykluczanie przypisania odmowy Podmioty zabezpieczeń wykluczone z przypisania odmowy.

    Jednostka zdefiniowana przez system reprezentuje wszystkich użytkowników, grupy, jednostki usługi i tożsamości zarządzane w katalogu usługi Azure AD.

  3. Aby wyświetlić listę uprawnień, które zostały odrzucone, wybierz pozycję Odmów uprawnień.

    Zrzut ekranu przedstawiający stronę Odmowa uprawnień dla przypisania odmowy zawierającego listę uprawnień, które zostały odrzucone.

    Typ akcji opis
    Akcje Odrzucone akcje płaszczyzny sterowania.
    NotActions Akcje płaszczyzny sterowania wykluczone z odrzuconych akcji płaszczyzny sterowania.
    DataActions Odrzucone akcje płaszczyzny danych.
    NotDataActions Akcje płaszczyzny danych wykluczone z odrzuconych akcji płaszczyzny danych.

    W przykładzie pokazanym na poprzednim zrzucie ekranu obowiązują następujące uprawnienia:

    • Wszystkie akcje magazynu na płaszczyźnie danych są odrzucane z wyjątkiem akcji obliczeniowych.
  4. Aby wyświetlić właściwości przypisania odmowy, wybierz pozycję Właściwości.

    Zrzut ekranu przedstawiający stronę Właściwości dla przypisania odmowy zawierającego listę właściwości.

    Na stronie Właściwości można zobaczyć nazwę przypisania odmowy, identyfikator, opis i zakres. Przełącznik Nie dotyczy elementów podrzędnych wskazuje, czy przypisanie odmowy jest dziedziczone do podzakresów. Przełącznik chroniony przez system wskazuje, czy to przypisanie odmowy jest zarządzane przez platformę Azure. Obecnie jest to wartość Tak we wszystkich przypadkach.

Następne kroki