認可アクションと属性
認可アクション
このセクションでは、条件のターゲットにできるサポートされている認可アクションの一覧を示します。
ロールの割り当ての作成または更新
| プロパティ | 先頭値 |
|---|---|
| [表示名] | ロールの割り当ての作成または更新 |
| 説明 | ロールの割り当てを作成するためのコントロール プレーン アクション |
| 操作 | Microsoft.Authorization/roleAssignments/write |
| リソース属性 | |
| 要求属性 | ロール定義 ID プリンシパル ID プリンシパルの種類 |
| 使用例 | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})例: ロールを制限する |
ロールの割り当ての削除
| プロパティ | 先頭値 |
|---|---|
| [表示名] | ロールの割り当ての削除 |
| 説明 | ロールの割り当てを削除するためのコントロール プレーン アクション |
| 操作 | Microsoft.Authorization/roleAssignments/delete |
| リソース属性 | ロール定義 ID プリンシパル ID プリンシパルの種類 |
| 要求属性 | |
| 使用例 | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})例: ロールを制限する |
認可属性
このセクションでは、ターゲットとするアクションに応じた条件式内で使用できる認可属性の一覧を示します。 1 つの条件に対して複数のアクションを選択すると、選択したアクション全体で属性が使用できる必要があるため、条件のために選択する属性の数は少なくなる可能性があります。
ロール定義 ID
| プロパティ | 先頭値 |
|---|---|
| [表示名] | ロール定義 ID |
| 説明 | ロールの割り当てで使用されるロールの定義 ID |
| 属性 | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Attribute source (属性ソース) | Request リソース |
| 属性の型 | GUID |
| オペレーター | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| 使用例 | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}例: ロールを制限する |
プリンシパル ID
| プロパティ | 先頭値 |
|---|---|
| [表示名] | プリンシパル ID |
| 説明 | ロールに割り当てられるプリンシパル ID。 これは Active Directory 内の ID にマップされます。 これが指すことができるのは、ユーザー、サービス プリンシパル、またはセキュリティ グループです |
| 属性 | Microsoft.Authorization/roleAssignments:PrincipalId |
| Attribute source (属性ソース) | Request リソース |
| 属性の型 | GUID |
| オペレーター | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| 使用例 | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}例: ロールと特定のグループを制限する |
プリンシパルの種類
| プロパティ | 先頭値 |
|---|---|
| [表示名] | プリンシパルの種類 |
| 説明 | プリンシパルの種類は、Azure リソースへのアクセスを要求しているユーザー、グループ、サービス プリンシパル、またはマネージド ID を表します。 これらのセキュリティ プリンシパルのいずれかにロールを割り当てることができます。 |
| 属性 | Microsoft.Authorization/roleAssignments:PrincipalType |
| Attribute source (属性ソース) | Request リソース |
| 属性の型 | STRING |
| 値 | User ServicePrincipal グループ |
| オペレーター | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| 使用例 | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}例: ロールとプリンシパルの種類を制限する |