Поделиться через


Действия и атрибуты авторизации

Действия авторизации

В этом разделе перечислены поддерживаемые действия авторизации, которые можно использовать для условий.

Создание или обновление назначений ролей

Свойство Значение
Отображаемое имя Создание или обновление назначений ролей
Description Действие уровня управления для создания назначений ролей
Действие Microsoft.Authorization/roleAssignments/write
Атрибуты ресурсов
Атрибуты запроса Идентификатор определения роли.
Идентификатор субъекта
Тип субъекта
Примеры !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
Пример: ограничение ролей

Удаление назначения ролей

Свойство Значение
Отображаемое имя Удаление назначения ролей
Description Действие уровня управления для удаления назначений ролей
Действие Microsoft.Authorization/roleAssignments/delete
Атрибуты ресурсов Идентификатор определения роли.
Идентификатор субъекта
Тип субъекта
Атрибуты запроса
Примеры !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
Пример: ограничение ролей

Атрибуты авторизации

В этом разделе перечислены атрибуты авторизации, которые можно использовать в выражениях условий в зависимости от целевого действия. Если для одного условия выбрано несколько действий, набор атрибутов, которые можно выбрать для проверки условий, может сузиться, поскольку атрибуты должны быть доступны во всех выбранных действиях.

Идентификатор определения роли

Свойство Значение
Отображаемое имя Идентификатор определения роли
Description Идентификатор определения роли, используемый в назначении роли
Attribute Microsoft.Authorization/roleAssignments:RoleDefinitionId
Источник атрибутов Запросить
Ресурс
Тип атрибута GUID
Операторы GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Примеры @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}
Пример: ограничение ролей

Идентификатор субъекта

Свойство Значение
Отображаемое имя Идентификатор субъекта
Description Идентификатор субъекта, назначенный роли. Это сопоставляется с идентификатором внутри Active Directory. Он может указывать на пользователя, субъекта-службу или группу безопасности.
Attribute Microsoft.Authorization/roleAssignments:PrincipalId
Источник атрибутов Запросить
Ресурс
Тип атрибута GUID
Операторы GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Примеры @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
Пример. Ограничение ролей и определенных групп

Тип субъекта

Свойство Значение
Отображаемое имя Тип субъекта
Description Тип субъекта представляет пользователя, группу, субъект-службу или управляемое удостоверение, запрашивающее доступ к ресурсам Azure. Вы можете назначить роль любому из этих субъектов безопасности.
Attribute Microsoft.Authorization/roleAssignments:PrincipalType
Источник атрибутов Запросить
Ресурс
Тип атрибута STRING
Значения User
ServicePrincipal
Групповой
Операторы StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
ForAnyOfAnyValues:StringEqualsIgnoreCase
ForAnyOfAllValues:StringNotEqualsIgnoreCase
Примеры @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
Пример. Ограничение ролей и типов субъектов

Следующие шаги