Описание запретов назначений в Azure

Запрет назначений, как и назначение ролей, привязывает набор запрещающих действий к пользователю, группе или субъекту-службе в определенной области с целью отказа в доступе. Запрещающие назначения блокируют выполнение определенных действий ресурсов Azure пользователями, даже если назначение роли предоставляет им доступ.

В этой статье описывается, как определять запреты назначений.

Как создаются назначения запретов

Назначения запретов создаются и управляются платформой Azure для защиты ресурсов. В Azure Blueprints и управляемых приложениях Azure назначения запретов применяются для защиты управляемых системой ресурсов. Azure Blueprints и управляемые приложения Azure являются единственным способом, который запрещает назначения используются в Azure. Вы не можете напрямую создавать собственные назначения запретов. Azure Blueprints использует запреты назначений для блокировки ресурсов, но только для ресурсов, развернутых в рамках схемы. Дополнительные сведения см. в статье о блокировке ресурсов в Azure Blueprints.

Примечание.

Вы не можете напрямую создавать собственные назначения запретов.

Сравнительное описание назначений ролей и назначений запретов

Назначения запретов похожи на назначения ролей, но имеют некоторые отличия.

Возможность Назначение ролей Назначение запрета
Предоставление доступа ✔️
Запрет доступа ✔️
Можно создать напрямую ✔️
Применяется к области ✔️ ✔️
Исключение субъектов ✔️
Запрет наследования для дочерних областей ✔️
Применение к назначению классического администратора подписки ✔️

Свойства запретов назначений

Запрет назначений имеет следующие свойства:

Свойство Обязательное поле Тип Описание
DenyAssignmentName Да Строка Отображаемое имя запрета назначения. Имена должны быть уникальными в пределах области.
Description Нет Строка Описание запрета назначения.
Permissions.Actions Минимум один Actions или один DataActions. String[] Массив строк, указывающих действия уровня управления, к которым запрещается доступ к назначению.
Permissions.NotActions Нет String[] Массив строк, указывающих действие уровня управления, которое следует исключить из назначения запрета.
Permissions.DataActions Минимум один Actions или один DataActions. String[] Массив строк, указывающих действия плоскости данных, к которым запрещается доступ.
Permissions.NotDataActions Нет String[] Массив строк, указывающих действия плоскости данных, которые следует исключить из назначения запрета.
Scope Нет Строка Строка, определяющая область применения запрета назначения.
DoNotApplyToChildScopes Нет Логическое значение Указывает, применяется ли запрет назначения к дочерним областям. По умолчанию используется значение false.
Principals[i].Id Да String[] Массив идентификаторов основного объекта Microsoft Entra (пользователя, группы, субъекта-службы или управляемого удостоверения), к которому применяется назначение запрета. Чтобы охватить все субъекты, оставьте GUID пустым (00000000-0000-0000-0000-000000000000).
Principals[i].Type Нет String[] Массив типов объектов, представленных значениями Principals[i].Id. Укажите значение SystemDefined, чтобы представить все субъекты.
ExcludePrincipals[i].Id Нет String[] Массив идентификаторов основного объекта Microsoft Entra (пользователя, группы, субъекта-службы или управляемого удостоверения), к которому назначение запрета не применяется.
ExcludePrincipals[i].Type Нет String[] Массив типов объектов, представленный ExcludePrincipals[i].Id.
IsSystemProtected Нет Логическое значение Указывает, был ли запрет назначения создан Azure, а значит, не может быть изменен или удален. В настоящее время все запреты назначений защищаются системой.

Субъект "Все субъекты"

Для поддержки назначений запретов добавлен определяемый системой субъект с именем Все субъекты. Этот субъект представляет всех пользователей, групп, субъектов-служб и управляемых удостоверений в каталоге Microsoft Entra. Если идентификатор субъекта имеет нулевое значение GUID (00000000-0000-0000-0000-000000000000), а тип субъекта — SystemDefined, субъект представляет все субъекты. В выходных данных Azure PowerShell субъект "Все субъекты" имеет следующий вид:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Субъект "Все субъекты" можно сочетать с ExcludePrincipals, чтобы запретить все субъекты, кроме некоторых пользователей. Субъект "Все субъекты" имеет следующие ограничения:

  • Может использоваться только в Principals и не может использоваться в ExcludePrincipals.
  • Для параметра Principals[i].Type нужно задать значение SystemDefined.

Следующие шаги