Compartilhar via


Listar as atribuições de negação do Azure

Semelhante a uma atribuição de função, uma negação de atribuição anexa um conjunto de ações de negação a um usuário, grupo ou entidade de serviço em um escopo específico com o objetivo de negar acesso. As atribuições de negação impedem que os usuários executem ações específicas, mesmo que uma atribuição de função conceda o acesso a eles.

Este artigo descreve como listar atribuições de negação.

Importante

Não é possível criar atribuições de negação diretamente. As atribuições de negação são criadas e gerenciadas pelo Azure.

Como as atribuições de negação são criadas

As atribuições de negação são criadas e gerenciadas pelo Azure para proteger recursos. Não é possível criar atribuições de negação diretamente. No entanto, você pode especificar configurações de negação ao criar uma pilha de implantação, que cria uma atribuição de negação que pertence aos recursos da pilha de implantação. As pilhas de implantação estão atualmente em versão prévia. Para obter mais informações, consulte Proteger recursos gerenciados contra exclusão.

Comparar atribuições de função e de negação

As atribuições de negação seguem um padrão semelhante ao das atribuições de função, mas elas também têm algumas diferenças.

Funcionalidade Atribuição de função Atribuição de negação
Conceder acesso
Negar acesso
Pode ser criado diretamente
Aplicar em um escopo
Excluir entidades
Impedir a herança para escopos filho
Aplicar para atribuições de administrador de assinatura clássica

Propriedades de atribuição de negação

Uma atribuição de negação tem as seguintes propriedades:

Propriedade Obrigatório Type Descrição
DenyAssignmentName Sim String O nome de exibição da atribuição de negação. Os nomes devem ser exclusivos para um determinado escopo.
Description Não String A descrição da atribuição de negação.
Permissions.Actions Pelo menos um Actions ou um DataActions String[] Uma matriz de cadeias de caracteres que especificam as ações do painel de controle para as quais o acesso é bloqueado pela atribuição de negação.
Permissions.NotActions Não String[] Uma matriz de cadeias de caracteres que especificam a ação do painel de controle a excluir da atribuição de negação.
Permissions.DataActions Pelo menos um Actions ou um DataActions String[] Uma matriz de cadeias de caracteres que especificam as ações do plano de dados para as quais o acesso é bloqueado pela atribuição de negação.
Permissions.NotDataActions Não String[] Uma matriz de cadeias de caracteres que especificam as ações do plano de dados a excluir da atribuição de negação.
Scope Não String Uma cadeia de caracteres que especifica o escopo ao qual a atribuição de negação se aplica.
DoNotApplyToChildScopes Não Booliano Especifica se a atribuição de negação se aplica a escopos filho. O valor padrão é falso.
Principals[i].Id Yes String[] Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) à qual a atribuição de negação se aplica. Defina como um GUID vazio 00000000-0000-0000-0000-000000000000 para representar todos os principais.
Principals[i].Type Não String[] Uma matriz de tipos de objetos representados por Principals[i].Id. Defina como SystemDefined para representar todas as entidades.
ExcludePrincipals[i].Id Não String[] Uma matriz de IDs de objeto principal do Microsoft Entra (usuário, grupo, entidade de serviço ou identidade gerenciada) à qual a atribuição de negação não se aplica.
ExcludePrincipals[i].Type Não String[] Uma matriz de tipos de objeto representados por ExcludePrincipals[i].Id.
IsSystemProtected Não Booliano Especifica se esta atribuição de negação foi ou não criada pelo Azure e não pode ser editada ou excluída. Atualmente, todas as atribuições de negação são protegidas pelo sistema.

A entidade de Todas as entidades

Para dar suporte a atribuições de negação, foi introduzida uma entidade definida pelo sistema e denominada Todas as entidades. Essa entidade de segurança representa todos os usuários, grupos, entidades de serviço e identidades gerenciadas em um diretório do Microsoft Entra. Se o ID principal for um zero GUID 00000000-0000-0000-0000-000000000000 e o tipo principal for SystemDefined, o principal representará todos os principais. Na saída do Azure PowerShell, Todas as entidades se parece com o seguinte:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Todas as entidades pode ser combinado com ExcludePrincipals para negar todas as entidades, exceto alguns usuários. Todas as entidades tem as seguintes restrições:

  • Pode ser usada apenas em Principals e não pode ser usada em ExcludePrincipals.
  • Principals[i].Type deve ser definido como SystemDefined.

Listar atribuições de negação

Siga estas etapas para listar atribuições de negação.

Importante

Não é possível criar atribuições de negação diretamente. As atribuições de negação são criadas e gerenciadas pelo Azure. Para obter mais informações, consulte Proteger recursos gerenciados contra exclusão.

Pré-requisitos

Para obter informações sobre uma atribuição de negação, você deve ter:

Listar atribuições de negação no portal do Azure

Siga estas etapas para visualizar as atribuições de negação no escopo da assinatura ou do grupo de gerenciamento.

  1. No portal do Azure, abra o escopo selecionado, como grupo de recursos ou assinatura.

  2. Selecione IAM (Controle de acesso) .

  3. Selecione a guia Atribuições de negação (ou selecione o botão Exibir no bloco Exibir atribuições de negação).

    Se houver atribuições de negação nesse escopo ou herdadas para esse escopo, elas serão listadas.

    Captura de tela da página Controle de acesso (IAM) e guia Negar atribuições que lista atribuições negadas no escopo selecionado.

  4. Para exibir colunas adicionais, selecione Editar Colunas.

    Captura de tela do painel de colunas de atribuições negadas que mostra como adicionar colunas à lista de atribuições negadas.

    Coluna Descrição
    Nome Nome da atribuição de negação.
    Tipo de entidade Usuário, grupo, grupo definido pelo sistema ou principal do serviço.
    Negado Nome do principal de segurança incluído na atribuição de negação.
    Id Identificador exclusivo para a atribuição de negação.
    Principais Excluídos Se existem entidades de segurança que são excluídas da atribuição de negação.
    Não se aplica a crianças Se a atribuição de negação é herdada para subescópios.
    Protegidos do sistema Se a atribuição de negação é gerenciada pelo Azure. Atualmente, sempre sim.
    Escopo Grupo de gerenciamento, assinatura, grupo de recursos ou recurso.
  5. Adicione uma marca de seleção a qualquer um dos itens habilitados e selecione OK para exibir as colunas selecionadas.

Listar detalhes sobre uma atribuição de negação

Siga estas etapas para listar detalhes adicionais sobre uma atribuição de negação.

  1. Abra o painel Negar atribuições conforme descrito na seção anterior.

  2. Selecione o nome da atribuição de negação para abrir a página Usuários.

    Captura de tela da página Usuários para uma atribuição de negação que lista as aplicações e exclusões.

    A página Usuários inclui as duas seções a seguir.

    Configuração de negação Descrição
    Negar atribuição se aplica a Entidades de segurança às quais a atribuição de negação se aplica.
    Negar a exclui da atribuição Entidades de segurança que são excluídas da atribuição de negação.

    A diretiva definida pelo sistema representa todos os usuários, grupos, entidades de serviço e identidades gerenciadas em um Azure Active Directory.

  3. Para ver uma lista das permissões negadas, selecione Permissões Negadas.

    Captura de tela da página Permissões negadas para uma atribuição de negação que lista as permissões negadas.

    Tipo de ação Descrição
    Ações Ações do painel de controle negadas.
    NotActions Ações do painel de controle excluídas das ações do painel de controle negadas.
    DataActions Ações do plano de dados negadas.
    NotDataActions Ações do plano de dados excluídas das ações de plano de dados negadas.

    Para o exemplo mostrado na captura de tela anterior, as seguintes são as permissões efetivas:

    • Todas as ações de armazenamento no plano de dados são negadas, exceto para ações de computação.
  4. Para ver as propriedades de uma atribuição de negação, selecione Propriedades.

    Captura de tela da página Propriedades para uma atribuição de negação que lista as propriedades.

    Na página Propriedades, você pode ver o nome da atribuição de negação, a ID, a descrição e o escopo. A opção Não se aplica a filhos indica se a atribuição de negação é herdada para os subescópios. A chave System protected indica se essa atribuição de negação é gerenciada pelo Azure. Atualmente, isso é Sim em todos os casos.

Próximas etapas