Действия и атрибуты авторизации
Действия авторизации
В этом разделе перечислены поддерживаемые действия авторизации, которые можно использовать для условий.
Создание или обновление назначений ролей
| Свойство | Значение |
|---|---|
| Отображаемое имя | Создание или обновление назначений ролей |
| Description | Действие уровня управления для создания назначений ролей |
| Действие | Microsoft.Authorization/roleAssignments/write |
| Атрибуты ресурсов | |
| Атрибуты запроса | Идентификатор определения роли. Идентификатор субъекта Тип субъекта |
| Примеры | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Пример: ограничение ролей |
Удаление назначения ролей
| Свойство | Значение |
|---|---|
| Отображаемое имя | Удаление назначения ролей |
| Description | Действие уровня управления для удаления назначений ролей |
| Действие | Microsoft.Authorization/roleAssignments/delete |
| Атрибуты ресурсов | Идентификатор определения роли. Идентификатор субъекта Тип субъекта |
| Атрибуты запроса | |
| Примеры | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Пример: ограничение ролей |
Атрибуты авторизации
В этом разделе перечислены атрибуты авторизации, которые можно использовать в выражениях условий в зависимости от целевого действия. Если для одного условия выбрано несколько действий, набор атрибутов, которые можно выбрать для проверки условий, может сузиться, поскольку атрибуты должны быть доступны во всех выбранных действиях.
Идентификатор определения роли
| Свойство | Значение |
|---|---|
| Отображаемое имя | Идентификатор определения роли |
| Description | Идентификатор определения роли, используемый в назначении роли |
| Attribute | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Источник атрибутов | Запросить Ресурс |
| Тип атрибута | GUID |
| Операторы | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Примеры | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Пример: ограничение ролей |
Идентификатор субъекта
| Свойство | Значение |
|---|---|
| Отображаемое имя | Идентификатор субъекта |
| Description | Идентификатор субъекта, назначенный роли. Это сопоставляется с идентификатором внутри Active Directory. Он может указывать на пользователя, субъекта-службу или группу безопасности. |
| Attribute | Microsoft.Authorization/roleAssignments:PrincipalId |
| Источник атрибутов | Запросить Ресурс |
| Тип атрибута | GUID |
| Операторы | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Примеры | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Пример. Ограничение ролей и определенных групп |
Тип субъекта
| Свойство | Значение |
|---|---|
| Отображаемое имя | Тип субъекта |
| Description | Тип субъекта представляет пользователя, группу, субъект-службу или управляемое удостоверение, запрашивающее доступ к ресурсам Azure. Вы можете назначить роль любому из этих субъектов безопасности. |
| Attribute | Microsoft.Authorization/roleAssignments:PrincipalType |
| Источник атрибутов | Запросить Ресурс |
| Тип атрибута | STRING |
| Значения | User ServicePrincipal Групповой |
| Операторы | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Примеры | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Пример. Ограничение ролей и типов субъектов |