分享方式:


使用條件委派 Azure 角色指派管理的範例

本文列出如何將 Azure 角色指派管理委派給有條件的其他使用者的範例。

必要條件

如需新增或編輯角色指派條件的必要條件相關資訊,請參閱條件必要要件

範例:限制角色

此條件可讓委派只新增或移除備份參與者或備份讀取者角色的角色指派

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

受備份參與者或備份讀取者角色限制的角色指派圖表。

以下是使用 Azure 入口網站和條件範本新增此條件的設定。

Condition 設定
範本 限制角色
角色 備份參與者
備份讀取器

範例:限制角色和主體類型

此條件可讓委派只新增或移除備份參與者或備份讀取者角色的角色指派 此外,委派只能將這些角色指派給使用者或群組類型的主體。

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

角色指派的圖表限制備份參與者或備份讀取者角色,以及使用者或群組主體類型。

以下是使用 Azure 入口網站和條件範本新增此條件的設定。

Condition 設定
範本 限制角色和主體類型
角色 備份參與者
備份讀取器
主體類型 使用者
群組

範例:限制角色和特定群組

此條件可讓委派只新增或移除備份參與者或備份讀取者角色的角色指派 此外,委派只能將這些角色指派給名為 Marketing 的特定群組(28c35fea-2099-4cf5-8ad9-473547bc9423) 或 Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0)。

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

受備份參與者或備份讀者角色和行銷或銷售群組限制的角色指派圖表。

以下是使用 Azure 入口網站和條件範本新增此條件的設定。

Condition 設定
範本 限制角色和主體
角色 備份參與者
備份讀取器
Principals Marketing
Sales

範例:限制虛擬機管理

此條件可讓委派只新增或移除虛擬機 管理員 istrator 登入或虛擬機使用者登入角色的角色指派 此外,委派只能將這些角色指派給名為 Dara 的特定使用者(ea585310-c95c-4a68-af22-49af4363bbb1)。

當您想要允許委派針對剛建立的虛擬機,將虛擬機登入角色指派給自己時,此條件很有用。

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

限制為虛擬機的角色指派圖表,管理員 istrator 登入或虛擬機使用者登入角色和特定使用者。

以下是使用 Azure 入口網站和條件範本新增此條件的設定。

Condition 設定
範本 限制角色和主體
角色 虛擬機 管理員 istrator 登入
虛擬機使用者登入
Principals 達拉

範例:限制 AKS 叢集管理

此條件可讓委派只新增或移除 Azure Kubernetes Service RBAC 管理員、Azure Kubernetes Service RBAC 叢集 管理員Azure Kubernetes Service RBAC 讀取器Azure Kubernetes Service RBAC 寫入器角色的角色指派。 此外,委派只能將這些角色指派給名為 Dara 的特定使用者(ea585310-c95c-4a68-af22-49af4363bbb1)。

當您想要允許委派將 Azure Kubernetes Service (AKS) 叢集數據平面授權角色指派給他們剛建立的叢集時,此條件很有用。

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

限制為 Azure Kubernetes Service RBAC 管理員、Azure Kubernetes Service RBAC 叢集 管理員、Azure Kubernetes Service RBAC 讀取器或 Azure Kubernetes Service RBAC 寫入器角色和特定使用者的角色指派圖表。

以下是使用 Azure 入口網站和條件範本新增此條件的設定。

範例:限制 ACR 管理

此條件可讓委派只新增或移除 AcrPull 角色的角色指派。 此外,委派只能將這些角色指派給服務主體類型的主體。

當您想要允許開發人員將 AcrPull 角色指派給受控識別本身,以便從 Azure Container Registry (ACR) 提取映像時,此條件很有用。

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

受限於 AcrPull 角色和服務主體類型的角色指派圖表。

以下是使用 Azure 入口網站和條件範本新增此條件的設定。

Condition 設定
範本 限制角色和主體類型
角色 AcrPull
主體類型 服務主體

範例:限制新增角色指派

此條件可讓委派只新增備份參與者或備份讀取者角色的角色指派 委派可以移除任何角色指派。

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write

新增和移除受備份參與者或備份讀取者角色限制的角色指派圖表。

範例:允許大部分角色,但不允許其他人指派角色

此條件可讓委派新增或移除所有角色的角色指派,但擁有者角色型 存取控制 管理員 istrator使用者存取 管理員 istrator 角色除外。

當您想要允許委派指派大部分角色,但不允許委派允許其他人指派角色時,此條件很有用。

注意

此條件應謹慎使用。 如果稍後新增包含建立角色指派許可權的新內建或自定義角色,則此條件不會防止委派指派角色。 條件必須更新,才能包含新的內建或自定義角色。

您必須將此條件新增至包含下列動作之委派的任何角色指派。

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/delete

除了擁有者、角色型 存取控制 管理員 istrator 和 User Access 管理員 istrator 以外,新增和移除所有角色的角色指派圖表。

以下是使用 Azure 入口網站和條件範本新增此條件的設定。

Condition 設定
範本 允許特定角色以外的所有角色
排除角色 負責人
角色型存取控制系統管理員
使用者存取系統管理員

下一步