Autorisierungsaktionen und -attribute
Autorisierungsaktionen
In diesem Abschnitt werden die unterstützten Autorisierungsaktionen aufgeführt, auf die Sie für Bedingungen abzielen können.
Erstellen oder Aktualisieren von Rollenzuweisungen
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Erstellen oder Aktualisieren von Rollenzuweisungen |
| Beschreibung | Steuerungsebenenaktion zum Erstellen von Rollenzuweisungen |
| Aktion | Microsoft.Authorization/roleAssignments/write |
| Ressourcenattribute | |
| Anforderungsattribute | Rollendefinitions-ID Prinzipal-ID Prinzipaltyp |
| Beispiele | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Beispiel: Einschränken von Rollen |
Löschen einer Rollenzuweisung
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Löschen einer Rollenzuweisung |
| Beschreibung | Steuerungsebenenaktion zum Löschen von Rollenzuweisungen |
| Aktion | Microsoft.Authorization/roleAssignments/delete |
| Ressourcenattribute | Rollendefinitions-ID Prinzipal-ID Prinzipaltyp |
| Anforderungsattribute | |
| Beispiele | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Beispiel: Einschränken von Rollen |
Autorisierungsattribute
In diesem Abschnitt werden die Autorisierungsattribute aufgeführt, die Sie in Ihren Bedingungsausdrücken verwenden können, je nachdem, welche Aktion Sie festlegen. Wenn Sie mehrere Aktionen für eine einzelne Bedingung auswählen, stehen für Ihre Bedingung möglicherweise weniger Attribute zur Auswahl, weil die Attribute für alle ausgewählten Aktionen verfügbar sein müssen.
Rollendefinitions-ID
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Rollendefinitions-ID |
| Beschreibung | Die Rollendefinitions-ID, die in der Rollenzuweisung verwendet wird |
| Attribut | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Attributquelle | Anforderung Resource |
| Attributtyp | GUID |
| Operatoren | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Beispiele | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Beispiel: Einschränken von Rollen |
Prinzipal-ID
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Prinzipal-ID |
| Beschreibung | Die Prinzipal-ID, die der Rolle zugewiesen ist. Diese ist der ID innerhalb von Active Directory zugeordnet. Sie kann auf einen Benutzer, einen Dienstprinzipal oder eine Sicherheitsgruppe verweisen |
| Attribut | Microsoft.Authorization/roleAssignments:PrincipalId |
| Attributquelle | Anforderung Resource |
| Attributtyp | GUID |
| Operatoren | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Beispiele | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Beispiel: Einschränken von Rollen und bestimmten Gruppen |
Prinzipaltyp
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Prinzipaltyp |
| Beschreibung | Der Prinzipaltyp stellt eine Benutzer-, Gruppen-, Dienstprinzipal- oder verwaltete Identität dar, die den Zugriff auf Azure-Ressourcen anfordert. Sie können jedem dieser Sicherheitsprinzipale eine Rolle zuweisen |
| Attribut | Microsoft.Authorization/roleAssignments:PrincipalType |
| Attributquelle | Anforderung Resource |
| Attributtyp | STRING |
| Werte | Benutzer ServicePrincipal Group |
| Operatoren | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Beispiele | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Beispiel: Einschränken von Rollen und Prinzipaltypen |