你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

授权操作和属性

授权操作

本部分列出了可针对条件的受支持授权操作。

创建或更新角色分配

属性	值
显示名称	创建或更新角色分配
描述	用于创建角色分配的控制平面操作
Action	Microsoft.Authorization/roleAssignments/write
资源属性
请求属性	角色定义 ID 主体 ID 主体类型
示例	!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}) 示例：约束角色

删除角色分配

属性	值
显示名称	删除角色分配
描述	用于删除角色分配的控制平面操作
Action	Microsoft.Authorization/roleAssignments/delete
资源属性	角色定义 ID 主体 ID 主体类型
请求属性
示例	!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'}) 示例：约束角色

授权属性

本部分列出了可以根据目标操作在条件表达式中使用的授权属性。 如果针对单个条件选择多个操作，则能为条件选择的属性可能较少，因为这些属性必须在所选操作中可用。

角色定义 ID

属性	值
显示名称	角色定义 ID
描述	角色分配中使用的角色定义 ID
Attribute	Microsoft.Authorization/roleAssignments:RoleDefinitionId
特性源	请求 资源
属性类型	GUID
运算符	GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAnyValues:GuidNotEquals
示例	@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7} 示例：约束角色

主体 ID

属性	值
显示名称	主体 ID
描述	分配给角色的主体 ID。 这会映射到 Active Directory 中的 ID。 它可以指向用户、服务主体或安全组
Attribute	Microsoft.Authorization/roleAssignments:PrincipalId
特性源	请求 资源
属性类型	GUID
运算符	GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAnyValues:GuidNotEquals
示例	@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0} 示例：约束角色和特定组

主体类型

属性	值
显示名称	主体类型
描述	主体类型表示请求访问 Azure 资源的用户、组、服务主体或托管标识。 可以将角色分配给其中任何一个安全主体
Attribute	Microsoft.Authorization/roleAssignments:PrincipalType
特性源	请求 资源
属性类型	字符串
值	用户 服务主体 组
运算符	StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAnyValues:StringNotEqualsIgnoreCase
示例	@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'} 示例：约束角色和主体类型

后续步骤

• 使用条件委托 Azure 角色分配管理的示例
• 将 Azure 角色分配管理委派给有条件的其他人