授權動作和屬性

授權動作

本節列出您可以針對條件設定目標的受支持授權動作。

建立或更新角色指派

屬性	數值
顯示名稱	建立或更新角色指派
說明	建立角色指派的控制平面動作
動作	Microsoft.Authorization/roleAssignments/write
資源屬性
要求屬性	角色定義識別碼 主體標識碼 主體類型
範例	!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}) 範例：限制角色

刪除角色指派

屬性	數值
顯示名稱	刪除角色指派
說明	用於刪除角色指派的控制平面動作
動作	Microsoft.Authorization/roleAssignments/delete
資源屬性	角色定義識別碼 主體標識碼 主體類型
要求屬性
範例	!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'}) 範例：限制角色

授權屬性

本節列出您可以根據目標動作，在條件運算式中使用的授權屬性。 如果您針對單一條件選取多個動作，可能會因為屬性必須可在所有選取的動作上使用，因而使能為條件選擇的屬性變少。

角色定義識別碼

屬性	數值
顯示名稱	角色定義識別碼
說明	角色指派中使用的角色定義標識碼
屬性	Microsoft.Authorization/roleAssignments:RoleDefinitionId
屬性來源	要求 資源
屬性類型	GUID
運算子	GuidEquals GuidNotEquals ForAnyOfAnyValues：GuidEquals ForAnyOfAllValues：GuidNotEquals
範例	@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7} 範例：限制角色

主體標識碼

屬性	數值
顯示名稱	主體標識碼
說明	指派給角色的主體標識碼。 這會對應至 Active Directory 內的標識碼。 它可以指向用戶、服務主體或安全組
屬性	Microsoft.Authorization/roleAssignments:PrincipalId
屬性來源	要求 資源
屬性類型	GUID
運算子	GuidEquals GuidNotEquals ForAnyOfAnyValues：GuidEquals ForAnyOfAllValues：GuidNotEquals
範例	@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0} 範例：限制角色和特定群組

主體類型

屬性	數值
顯示名稱	主體類型
說明	主體類型代表要求存取 Azure 資源的使用者、群組、服務主體或受控識別。 您可以將角色指派給其中任何一個安全性主體
屬性	Microsoft.Authorization/roleAssignments:PrincipalType
屬性來源	要求 資源
屬性類型	字串
值	User ServicePrincipal 群組
運算子	StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues：StringEqualsIgnoreCase ForAnyOfAllValues：StringNotEqualsIgnoreCase
範例	@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'} 範例：限制角色和主體類型

下一步

• 使用條件委派 Azure 角色指派管理的範例
• 將 Azure 角色指派管理委派給有條件的其他人