Actions et attributs d’autorisation
Actions d’autorisation
Cette section liste les actions d’autorisations prises en charge que vous pouvez cibler dans les conditions.
Créer ou mettre à jour des attributions de rôles
| Propriété | Value |
|---|---|
| Nom complet | Créer ou mettre à jour des attributions de rôles |
| Description | Action du plan de contrôle dans la création des attributions de rôles |
| Action | Microsoft.Authorization/roleAssignments/write |
| Attributs des ressources | |
| Attributs de requête | un ID de définition de rôle ; ID du principal Type de principal |
| Exemples | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Exemple : Limiter des rôles |
Supprimer une attribution de rôle
| Propriété | Value |
|---|---|
| Nom complet | Supprimer une attribution de rôle |
| Description | Action du plan de contrôle dans la suppression des attributions de rôles |
| Action | Microsoft.Authorization/roleAssignments/delete |
| Attributs des ressources | un ID de définition de rôle ; ID du principal Type de principal |
| Attributs de requête | |
| Exemples | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Exemple : Limiter des rôles |
Attributs d’autorisation
Cette section liste les attributs d’autorisation que vous pouvez utiliser dans vos expressions de condition en fonction de l’action que vous ciblez. Si vous sélectionnez plusieurs actions pour une même condition, vous pouvez choisir moins d’attributs pour votre condition, car ceux-ci doivent être disponibles au sein des actions sélectionnées.
un ID de définition de rôle ;
| Propriété | Value |
|---|---|
| Nom complet | un ID de définition de rôle ; |
| Description | ID de définition de rôle utilisé dans l’attribution de rôle |
| Attribut | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Source de l’attribut | Requête Ressource |
| Type d'attribut | GUID |
| Opérateurs | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exemples | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Exemple : Limiter des rôles |
ID du principal
| Propriété | Value |
|---|---|
| Nom complet | ID du principal |
| Description | ID du principal attribué au rôle. Cela correspond à l’ID dans Active Directory. Il peut pointer vers un utilisateur, un principal de service ou un groupe de sécurité |
| Attribut | Microsoft.Authorization/roleAssignments:PrincipalId |
| Source de l’attribut | Requête Ressource |
| Type d'attribut | GUID |
| Opérateurs | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exemples | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Exemple : Limiter des rôles et des groupes spécifiques |
Type de principal
| Propriété | Value |
|---|---|
| Nom complet | Type de principal |
| Description | Le type de principal représente un utilisateur, un groupe, un principal de service ou une identité managée demandant un accès à des ressources Azure. Vous pouvez attribuer un rôle à l’un de ces principaux de sécurité |
| Attribut | Microsoft.Authorization/roleAssignments:PrincipalType |
| Source de l’attribut | Requête Ressource |
| Type d'attribut | STRING |
| Valeurs | Utilisateur ServicePrincipal Groupe |
| Opérateurs | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Exemples | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Exemple : Limiter des rôles et des types de principaux |