권한 부여 작업 및 특성
권한 부여 작업
이 섹션에는 조건에 대해 대상으로 지정할 수 있는 지원되는 권한 부여 작업이 나열되어 있습니다.
역할 할당 만들기 또는 업데이트
| 속성 | 값 |
|---|---|
| 표시 이름 | 역할 할당 만들기 또는 업데이트 |
| 설명 | 역할 할당을 만들기 위한 컨트롤 플레인 작업 |
| 작업 | Microsoft.Authorization/roleAssignments/write |
| 리소스 특성 | |
| 요청 특성 | 역할 정의 ID 보안 주체 ID 주체 유형 |
| 예제 | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})예: 역할 제한 |
역할 할당 삭제
| 속성 | 값 |
|---|---|
| 표시 이름 | 역할 할당 삭제 |
| 설명 | 역할 할당을 삭제하기 위한 컨트롤 플레인 작업 |
| 작업 | Microsoft.Authorization/roleAssignments/delete |
| 리소스 특성 | 역할 정의 ID 보안 주체 ID 주체 유형 |
| 요청 특성 | |
| 예제 | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})예: 역할 제한 |
권한 부여 특성
이 섹션에는 대상 작업에 따라 조건 식에 사용할 수 있는 권한 부여 특성이 나열되어 있습니다. 단일 조건에 대해 여러 작업을 선택하는 경우 선택한 작업에서 특성을 사용할 수 있어야 하므로 조건에 대해 선택할 특성이 적을 수 있습니다.
역할 정의 ID
| 속성 | 값 |
|---|---|
| 표시 이름 | 역할 정의 ID |
| 설명 | 역할 할당에 사용되는 역할 정의 ID |
| Attribute | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| 특성 원본 | 요청 리소스 |
| 특성 유형 | GUID |
| 연산자 | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| 예제 | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}예: 역할 제한 |
보안 주체 ID
| 속성 | 값 |
|---|---|
| 표시 이름 | 보안 주체 ID |
| 설명 | 역할에 할당된 주체 ID입니다. 이는 Active Directory 내부의 ID에 매핑됩니다. 사용자, 서비스 주체 또는 보안 그룹을 가리킬 수 있습니다. |
| Attribute | Microsoft.Authorization/roleAssignments:PrincipalId |
| 특성 원본 | 요청 리소스 |
| 특성 유형 | GUID |
| 연산자 | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| 예제 | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}예: 역할 및 특정 그룹 제한 |
주체 유형
| 속성 | 값 |
|---|---|
| 표시 이름 | 주체 유형 |
| 설명 | 주체 형식은 Azure 리소스에 대한 액세스를 요청하는 사용자, 그룹, 서비스 주체 또는 관리 ID를 나타냅니다. 이러한 보안 주체에 역할을 할당할 수 있습니다. |
| Attribute | Microsoft.Authorization/roleAssignments:PrincipalType |
| 특성 원본 | 요청 리소스 |
| 특성 유형 | STRING |
| 값 | 사용자 ServicePrincipal 그룹 |
| 연산자 | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| 예제 | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}예: 역할 및 보안 주체 형식 제한 |