Příklady delegování správy přiřazení rolí Azure pomocí podmínek

Článek
05/08/2024

Tento článek uvádí příklady, jak delegovat správu přiřazení rolí Azure jiným uživatelům s podmínkami.

Požadavky

Informace o požadavcích pro přidání nebo úpravu podmínek přiřazení role naleznete v tématu Požadavky na podmínky.

Příklad: Omezení rolí

Tato podmínka umožňuje delegátu přidávat nebo odebírat pouze přiřazení rolí přispěvatele zálohování nebo čtenáře zálohování.

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.

Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a šablony podmínky.

Podmínka	Nastavení
Šablona	Role omezení
Role	Přispěvatel zálohování Čtenář zálohování

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Pokud chcete cílit na akce přidání a odebrání přiřazení role, všimněte si, že musíte přidat dvě podmínky. Je nutné přidat dvě podmínky, protože zdroj atributu se pro každou akci liší. Pokud se pokusíte cílit na obě akce ve stejné podmínce, nebudete moct přidat výraz. Další informace naleznete v tématu Příznaky – Žádná dostupná chyba.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování

Podmínka č. 2	Nastavení
Akce	Odstranění přiřazení role
Zdroj atributů	Prostředek
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Příklad: Omezení rolí a typů objektů zabezpečení

Tato podmínka umožňuje delegátu přidávat nebo odebírat pouze přiřazení rolí přispěvatele zálohování nebo čtenáře zálohování. Delegát může také tyto role přiřadit pouze objektům zabezpečení typu uživatele nebo skupiny.

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.

Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a šablony podmínky.

Podmínka	Nastavení
Šablona	Omezení rolí a typů objektů zabezpečení
Role	Přispěvatel zálohování Čtenář zálohování
Typy objektů zabezpečení	Uživatelé Skupiny

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování
Operátor	And
Expression 2
Zdroj atributů	Žádost
Atribut	Typ objektu zabezpečení
Operátor	ForAnyOfAnyValues:StringEqualsIgnoreCase
Hodnota	Uživatel Group (Skupina)

Podmínka č. 2	Nastavení
Akce	Odstranění přiřazení role
Zdroj atributů	Prostředek
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování
Operátor	And
Expression 2
Zdroj atributů	Prostředek
Atribut	Typ objektu zabezpečení
Operátor	ForAnyOfAnyValues:StringEqualsIgnoreCase
Hodnota	Uživatel Group (Skupina)

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Příklad: Omezení rolí a konkrétních skupin

Tato podmínka umožňuje delegátu přidávat nebo odebírat pouze přiřazení rolí přispěvatele zálohování nebo čtenáře zálohování. Delegát může tyto role přiřadit jenom konkrétním skupinám s názvem Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) nebo Prodej (86951b8b-723a-407b-a74a-1bca3f0c95d0).

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.

Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a šablony podmínky.

Podmínka	Nastavení
Šablona	Omezení rolí a objektů zabezpečení
Role	Přispěvatel zálohování Čtenář zálohování
Objekty zabezpečení	Marketing Sales

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování
Operátor	And
Expression 2
Zdroj atributů	Žádost
Atribut	ID objektu zabezpečení
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Objekty zabezpečení	Marketing Sales

Podmínka č. 2	Nastavení
Akce	Odstranění přiřazení role
Zdroj atributů	Prostředek
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování
Operátor	And
Expression 2
Zdroj atributů	Prostředek
Atribut	ID objektu zabezpečení
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Objekty zabezpečení	Marketing Sales

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Příklad: Omezení správy virtuálních počítačů

Tato podmínka umožňuje delegátu přidávat nebo odebírat přiřazení rolí jenom pro role přihlášení virtuálního počítače Správa istrator Login nebo Virtual Machine Login. Delegát může tyto role přiřadit jenom konkrétnímu uživateli Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Tato podmínka je užitečná, když chcete delegátovi povolit, aby sám sobě přiřadil roli přihlášení virtuálního počítače pro virtuální počítač, který právě vytvořil.

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.

Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a šablony podmínky.

Podmínka	Nastavení
Šablona	Omezení rolí a objektů zabezpečení
Role	Přihlášení virtuálního počítače Správa istrator Přihlášení uživatele virtuálního počítače
Objekty zabezpečení	Dara

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přihlášení virtuálního počítače Správa istrator Přihlášení uživatele virtuálního počítače
Operátor	And
Expression 2
Zdroj atributů	Žádost
Atribut	ID objektu zabezpečení
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Objekty zabezpečení	Dara

Podmínka č. 2	Nastavení
Akce	Odstranění přiřazení role
Zdroj atributů	Prostředek
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přihlášení virtuálního počítače Správa istrator Přihlášení uživatele virtuálního počítače
Operátor	And
Expression 2
Zdroj atributů	Prostředek
Atribut	ID objektu zabezpečení
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Objekty zabezpečení	Dara

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Příklad: Omezení správy clusteru AKS

Tato podmínka umožňuje delegátu přidávat nebo odebírat přiřazení rolí jenom pro role RBAC služby Azure Kubernetes Service Správa, clusteru RBAC služby Azure Kubernetes Service Správa, čtenáře RBAC služby Azure Kubernetes Service nebo zapisovače RBAC služby Azure Kubernetes Service. Delegát může tyto role přiřadit jenom konkrétnímu uživateli Dara (ea585310-c95c-4a68-af22-49af4363bbb1).

Tato podmínka je užitečná, když chcete delegátovi povolit přiřazení rolí autorizace roviny dat clusteru Azure Kubernetes Service (AKS) pro cluster, který právě vytvořil.

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.

Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a šablony podmínky.

Podmínka	Nastavení
Šablona	Omezení rolí a objektů zabezpečení
Role	Správa RBAC služby Azure Kubernetes Service Cluster RBAC služby Azure Kubernetes Service Správa Čtenář RBAC služby Azure Kubernetes Service Azure Kubernetes Service RBAC Writer
Objekty zabezpečení	Dara

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Správa RBAC služby Azure Kubernetes Service Cluster RBAC služby Azure Kubernetes Service Správa Čtenář RBAC služby Azure Kubernetes Service Azure Kubernetes Service RBAC Writer
Operátor	And
Expression 2
Zdroj atributů	Žádost
Atribut	ID objektu zabezpečení
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Objekty zabezpečení	Dara

Podmínka č. 2	Nastavení
Akce	Odstranění přiřazení role
Zdroj atributů	Prostředek
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Správa RBAC služby Azure Kubernetes Service Cluster RBAC služby Azure Kubernetes Service Správa Čtenář RBAC služby Azure Kubernetes Service Azure Kubernetes Service RBAC Writer
Operátor	And
Expression 2
Zdroj atributů	Prostředek
Atribut	ID objektu zabezpečení
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Objekty zabezpečení	Dara

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {3498e952-d568-435e-9b2c-8d77e338d7f7, b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b, 7f6c6a51-bcf8-42ba-9220-52d62157d7db, a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {ea585310-c95c-4a68-af22-49af4363bbb1}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Příklad: Omezení správy ACR

Tato podmínka umožňuje delegátu přidávat nebo odebírat pouze přiřazení rolí pro roli AcrPull . Delegát může také přiřadit tyto role pouze objektům zabezpečení typu instančního objektu.

Tato podmínka je užitečná, když chcete vývojáři povolit přiřazení role AcrPull k spravované identitě sami, aby mohl načíst image ze služby Azure Container Registry (ACR).

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.

Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a šablony podmínky.

Podmínka	Nastavení
Šablona	Omezení rolí a typů objektů zabezpečení
Role	AcrPull
Typy objektů zabezpečení	Instanční objekty

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	AcrPull
Operátor	And
Expression 2
Zdroj atributů	Žádost
Atribut	Typ objektu zabezpečení
Operátor	ForAnyOfAnyValues:StringEqualsIgnoreCase
Hodnota	ServicePrincipal

Podmínka č. 2	Nastavení
Akce	Odstranění přiřazení role
Zdroj atributů	Prostředek
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování
Operátor	And
Expression 2
Zdroj atributů	Prostředek
Atribut	Typ objektu zabezpečení
Operátor	ForAnyOfAnyValues:StringEqualsIgnoreCase
Hodnota	ServicePrincipal

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
  AND
  @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
  AND
  @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Příklad: Omezení přidání přiřazení rolí

Tato podmínka umožňuje delegátu přidávat pouze přiřazení rolí pro role Přispěvatel zálohování nebo Čtenář zálohování. Delegát může odebrat všechna přiřazení rolí.

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akci.

Microsoft.Authorization/roleAssignments/write

Nic

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAnyValues:GuidEquals
Porovnání	Hodnota
Role	Přispěvatel zálohování Čtenář zálohování

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Příklad: Povolit většinu rolí, ale nepovolit ostatním přiřazovat role

Tato podmínka umožňuje delegátu přidávat nebo odebírat přiřazení rolí pro všechny role kromě rolí Vlastník, Řízení přístupu na základě rolí Správa istrator a Uživatelský přístup Správa istrator.

Tato podmínka je užitečná, když chcete delegátu povolit přiřazování většiny rolí, ale nepovolit delegáta, aby přiřazovat role ostatním.

Poznámka:

Tento stav by se měl používat s opatrností. Pokud se později přidá nová předdefinovaná nebo vlastní role, která obsahuje oprávnění k vytváření přiřazení rolí, tato podmínka nezabrání delegátovi v přiřazování rolí. Podmínku je potřeba aktualizovat tak, aby zahrnovala novou předdefinované nebo vlastní roli.

Tuto podmínku musíte přidat do všech přiřazení rolí delegáta, který obsahuje následující akce.

Microsoft.Authorization/roleAssignments/write
Microsoft.Authorization/roleAssignments/delete

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a šablony podmínky.

Podmínka	Nastavení
Šablona	Povolit všechny kromě konkrétních rolí
Vyloučení rolí	Vlastník Řízení přístupu na základě role Správa istrator Správce uživatelského přístupu

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal a editoru podmínek.

Podmínka č. 1	Nastavení
Akce	Vytvoření nebo aktualizace přiřazení rolí
Zdroj atributů	Žádost
Atribut	ID definice role
Operátor	ForAnyOfAllValues:GuidNotEquals
Porovnání	Hodnota
Role	Vlastník Řízení přístupu na základě role Správa istrator Správce uživatelského přístupu

Podmínka č. 2	Nastavení
Akce	Odstranění přiřazení role
Zdroj atributů	Prostředek
Atribut	ID definice role
Operátor	ForAnyOfAllValues:GuidNotEquals
Porovnání	Hodnota
Role	Vlastník Řízení přístupu na základě role Správa istrator Správce uživatelského přístupu

(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
 )
 OR 
 (
  @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}
 )
)

Tady je postup přidání této podmínky pomocí Azure PowerShellu.

$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAllValues:GuidNotEquals {8e3af657-a8ff-443c-a75c-2fe8c4bcb635, f58310d9-a9f6-439a-9e8d-f62e7b41a168, 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion

Sdílet prostřednictvím

Příklady delegování správy přiřazení rolí Azure pomocí podmínek

Požadavky

Příklad: Omezení rolí

Příklad: Omezení rolí a typů objektů zabezpečení

Příklad: Omezení rolí a konkrétních skupin

Příklad: Omezení správy virtuálních počítačů

Příklad: Omezení správy clusteru AKS

Příklad: Omezení správy ACR

Příklad: Omezení přidání přiřazení rolí

Příklad: Povolit většinu rolí, ale nepovolit ostatním přiřazovat role

Další kroky

Váš názor

Další materiály