Azure reddetme atamalarını anlama
Rol atamasına benzer şekilde, reddetme ataması da erişimi reddetme amacıyla belirli bir kapsamdaki bir kullanıcı, grup veya hizmet sorumlusuna bir dizi reddetme eylemi ekler. Reddetme atamaları kullanıcıların belirli Azure kaynağı eylemlerini gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller.
Bu makalede reddetme atamalarının nasıl tanımlandığı açıklanmaktadır.
Reddetme atamaları nasıl oluşturulur?
Reddetme atamaları, kaynakları korumak amacıyla Azure tarafından oluşturulur ve yönetilir. Azure Blueprints ve Azure yönetilen uygulamaları, sistem tarafından yönetilen kaynakları korumak için reddetme atamalarını kullanır. Azure Blueprints ve Azure yönetilen uygulamaları, atamaları reddetmenin azure içinde kullanılmasının tek yoludur. Doğrudan kendi reddetme atamalarınızı oluşturamazsınız. Azure Blueprints, kaynakları kilitlemek için reddetme atamalarını kullanır ancak yalnızca şemanın parçası olarak dağıtılan kaynaklar için kullanılır. Daha fazla bilgi için bkz. Azure Blueprints'te kaynak kilitlemeyi anlama.
Not
Doğrudan kendi reddetme atamalarınızı oluşturamazsınız.
Rol atamalarını karşılaştırma ve atamaları reddetme
Atamaları reddetme, rol atamalarıyla benzer bir desene uyar, ancak bazı farklılıkları da vardır.
| Özellik | Rol ataması | Atamayı reddet |
|---|---|---|
| Erişim verme | ✔️ | |
| Erişimi engelleme | ✔️ | |
| Doğrudan oluşturulabilir | ✔️ | |
| Kapsamda uygulama | ✔️ | ✔️ |
| Sorumluları dışlama | ✔️ | |
| Alt kapsamlara devralmayı engelleme | ✔️ | |
| Klasik abonelik yöneticisi atamalarına uygula | ✔️ |
Atama özelliklerini reddet
Reddetme ataması aşağıdaki özelliklere sahiptir:
| Özellik | Gerekli | Tür | Açıklama |
|---|---|---|---|
DenyAssignmentName |
Evet | Dize | Reddetme atamasının görünen adı. Adların belirli bir kapsam için benzersiz olması gerekir. |
Description |
Hayır | Dize | Reddetme atamasının açıklaması. |
Permissions.Actions |
En az bir Eylem veya bir DataActions | Dize[] | Reddetme atamasının erişimi engellediği denetim düzlemi eylemlerini belirten dize dizisi. |
Permissions.NotActions |
Hayır | Dize[] | Reddetme atamasının dışında tutulacak denetim düzlemi eylemini belirten dize dizisi. |
Permissions.DataActions |
En az bir Eylem veya bir DataActions | Dize[] | Reddetme atamasının erişimi engellediği veri düzlemi eylemlerini belirten dize dizisi. |
Permissions.NotDataActions |
Hayır | Dize[] | Reddetme atamasının dışında tutulacak veri düzlemi eylemlerini belirten dize dizisi. |
Scope |
Hayır | Dize | Reddetme atamasının uygulanacağı kapsamı belirten bir dize. |
DoNotApplyToChildScopes |
Hayır | Boole | Reddetme atamasının alt kapsamlar için geçerli olup olmadığını belirtir. Varsayılan değer false'tur. |
Principals[i].Id |
Yes | Dize[] | Reddetme atamasının uygulandığı Azure AD asıl nesne kimliklerinden (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik) oluşan bir dizi. Tüm sorumluları temsil etmek için boş bir GUID 00000000-0000-0000-0000-000000000000 olarak ayarlayın. |
Principals[i].Type |
Hayır | Dize[] | Principals[i].Id tarafından temsil edilen nesne türleri dizisi. Tüm sorumluları temsil etmek için olarak SystemDefined ayarlayın. |
ExcludePrincipals[i].Id |
Hayır | Dize[] | Reddetme atamasının uygulanmadığı Azure AD asıl nesne kimlikleri dizisi (kullanıcı, grup, hizmet sorumlusu veya yönetilen kimlik). |
ExcludePrincipals[i].Type |
Hayır | Dize[] | ExcludePrincipals[i].Id ile temsil edilen nesne türleri dizisi. |
IsSystemProtected |
Hayır | Boole | Bu reddetme atamanın Azure tarafından oluşturulup oluşturulmadığını ve düzenlenemeyeceğini veya silinemeyeceğini belirtir. Şu anda tüm reddetme atamaları sistem korumalıdır. |
Tüm Sorumlular sorumlusu
Reddetme atamalarını desteklemek için Tüm Sorumlular adlı sistem tanımlı bir sorumlu kullanıma sunulmuştur. Bu sorumlu, bir Azure AD dizinindeki tüm kullanıcıları, grupları, hizmet sorumlularını ve yönetilen kimlikleri temsil eder. Asıl kimlik sıfır GUID 00000000-0000-0000-0000-000000000000 ise ve asıl tür ise SystemDefined, sorumlu tüm sorumluları temsil eder. Azure PowerShell çıktıda Tüm Sorumlular aşağıdaki gibi görünür:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Bazı kullanıcılar dışındaki tüm sorumluları reddetmek için tüm Sorumlular ile ExcludePrincipals birleştirilebilir. Tüm Sorumlular aşağıdaki kısıtlamalara sahiptir:
- Yalnızca içinde
Principalskullanılabilir ve içindeExcludePrincipalskullanılamaz. Principals[i].Typeolarak ayarlanmalıdırSystemDefined.