Ações e atributos de autorização
Ações de autorização
Esta seção lista as ações de autorização com suporte para uso em condições.
Criar ou atualizar atribuições de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | Criar ou atualizar atribuições de função |
| Descrição | Ação do plano de controle para criar atribuições de função |
| Ação | Microsoft.Authorization/roleAssignments/write |
| Atributos do recurso | |
| Atributos de solicitação | ID de definição de função ID da entidade de segurança Tipo de entidade |
| Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Exemplo: restringir funções |
Excluir uma atribuição de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | Excluir uma atribuição de função |
| Descrição | Ação do plano de controle para excluir atribuições de função |
| Ação | Microsoft.Authorization/roleAssignments/delete |
| Atributos do recurso | ID de definição de função ID da entidade de segurança Tipo de entidade |
| Atributos de solicitação | |
| Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Exemplo: restringir funções |
Atributos de autorização
Esta seção lista os atributos de autorização que podem ser usados em expressões de condição, de acordo com a ação desejada. Se você selecionar várias ações para uma única condição, pode haver menos opções de atributos para a sua condição, pois os atributos devem estar disponíveis nas ações selecionadas.
ID de definição de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | ID de definição de função |
| Descrição | A ID de definição de função usada na atribuição de função |
| Atributo | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | GUID |
| Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Exemplo: restringir funções |
ID da entidade de segurança
| Propriedade | Valor |
|---|---|
| Nome de exibição | ID da entidade de segurança |
| Descrição | A ID da entidade de segurança atribuída à função. Ela é mapeada para a ID no Active Directory. Além disso, pode apontar para um usuário, uma entidade de serviço ou um grupo de segurança |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalId |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | GUID |
| Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Exemplo: restringir funções e grupos específicos |
Tipo de entidade
| Propriedade | Valor |
|---|---|
| Nome de exibição | Tipo de entidade |
| Descrição | O tipo de entidade de segurança representa um usuário, grupo, entidade de serviço ou identidade gerenciada que solicitou acesso aos recursos do Azure. É possível atribuir uma função a qualquer uma dessas entidades de segurança |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalType |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | STRING |
| Valores | Usuário ServicePrincipal Grupo |
| Operadores | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Exemplo: restringir funções e tipos de entidade de segurança |