Akcje autoryzacji i atrybuty
Akcje autoryzacji
W tej sekcji wymieniono obsługiwane akcje autoryzacji, dla których można kierować warunki.
Tworzenie lub aktualizowanie przypisań ról
| Właściwości | Wartość |
|---|---|
| Nazwa wyświetlana | Tworzenie lub aktualizowanie przypisań ról |
| Opis | Akcja płaszczyzny sterowania na potrzeby tworzenia przypisań ról |
| Akcja | Microsoft.Authorization/roleAssignments/write |
| Atrybuty zasobów | |
| Atrybuty żądania | Identyfikator definicji roli Identyfikator podmiotu zabezpieczeń Typ podmiotu zabezpieczeń |
| Przykłady | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Przykład: role ograniczeń |
Usuwanie przypisania roli
| Właściwości | Wartość |
|---|---|
| Nazwa wyświetlana | Usuwanie przypisania roli |
| Opis | Akcja płaszczyzny sterowania dotycząca usuwania przypisań ról |
| Akcja | Microsoft.Authorization/roleAssignments/delete |
| Atrybuty zasobów | Identyfikator definicji roli Identyfikator podmiotu zabezpieczeń Typ podmiotu zabezpieczeń |
| Atrybuty żądania | |
| Przykłady | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Przykład: role ograniczeń |
Atrybuty autoryzacji
W tej sekcji wymieniono atrybuty autoryzacji, których można użyć w wyrażeniach warunku w zależności od akcji docelowej. Jeśli wybierzesz wiele akcji dla jednego warunku, może istnieć mniej atrybutów do wyboru dla warunku, ponieważ atrybuty muszą być dostępne w wybranych akcjach.
Identyfikator definicji roli
| Właściwości | Wartość |
|---|---|
| Nazwa wyświetlana | Identyfikator definicji roli |
| Opis | Identyfikator definicji roli używany w przypisaniu roli |
| Atrybut | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Źródło atrybutu | Żądanie Zasób |
| Typ atrybutu | Identyfikator GUID |
| Operatory | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Przykłady | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Przykład: role ograniczeń |
Identyfikator podmiotu zabezpieczeń
| Właściwości | Wartość |
|---|---|
| Nazwa wyświetlana | Identyfikator podmiotu zabezpieczeń |
| Opis | Identyfikator podmiotu zabezpieczeń przypisany do roli. Spowoduje to mapowania na identyfikator wewnątrz usługi Active Directory. Może wskazywać użytkownika, jednostkę usługi lub grupę zabezpieczeń |
| Atrybut | Microsoft.Authorization/roleAssignments:PrincipalId |
| Źródło atrybutu | Żądanie Zasób |
| Typ atrybutu | Identyfikator GUID |
| Operatory | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Przykłady | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Przykład: ograniczenia ról i określonych grup |
Typ nazwy głównej
| Właściwości | Wartość |
|---|---|
| Nazwa wyświetlana | Typ nazwy głównej |
| Opis | Typ podmiotu zabezpieczeń reprezentuje użytkownika, grupę, jednostkę usługi lub tożsamość zarządzaną żądającą dostępu do zasobów platformy Azure. Rolę można przypisać do dowolnego z tych podmiotów zabezpieczeń |
| Atrybut | Microsoft.Authorization/roleAssignments:PrincipalType |
| Źródło atrybutu | Żądanie Zasób |
| Typ atrybutu | CIĄG |
| Wartości | User ServicePrincipal Grupuj |
| Operatory | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Przykłady | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Przykład: ograniczenia ról i typów podmiotów zabezpieczeń |