Wyświetlanie listy przypisań odmowy platformy Azure
Podobnie jak przypisanie roli, przypisanie odmowy dołącza zestaw akcji odmowy do użytkownika, grupy lub jednostki usługi w określonym zakresie w celu odmowy dostępu. Przypisania odmowy uniemożliwiają użytkownikom wykonywanie określonych akcji na zasobach platformy Azure, nawet jeśli przypisanie roli daje im taki dostęp.
W tym artykule opisano sposób wyświetlania listy przypisań odmowy.
Ważne
Nie można bezpośrednio tworzyć własnych przypisań odmowy. Przypisania odmowy są tworzone i zarządzane przez platformę Azure.
Jak są tworzone przypisania odmowy
Przypisania odmowy są tworzone i zarządzane przez platformę Azure w celu ochrony zasobów. Nie można bezpośrednio tworzyć własnych przypisań odmowy. Można jednak określić ustawienia odmowy podczas tworzenia stosu wdrożenia, co powoduje utworzenie przypisania odmowy należącego do zasobów stosu wdrożenia. Stosy wdrażania są obecnie dostępne w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Ochrona zasobów zarządzanych przed usunięciem.
Porównanie przypisań ról i przypisań odmowy
Przypisania odmowy są zgodne z podobnym wzorcem, jak przypisania ról, ale także mają pewne różnice.
Możliwość | Przypisanie roli | Przypisanie odmowy |
---|---|---|
Przyznaj dostęp | ✅ | |
Odmów dostępu | ✅ | |
Można utworzyć bezpośrednio | ✅ | |
Stosowanie w zakresie | ✅ | ✅ |
Wykluczanie podmiotów zabezpieczeń | ✅ | |
Zapobieganie dziedziczeniu do zakresów podrzędnych | ✅ | |
Zastosuj do klasycznych przypisań administratora subskrypcji | ✅ |
Odmów właściwości przypisania
Przypisanie odmowy ma następujące właściwości:
Właściwości | Wymagania | Type | Opis |
---|---|---|---|
DenyAssignmentName |
Tak | String | Nazwa wyświetlana przypisania odmowy. Nazwy muszą być unikatowe dla danego zakresu. |
Description |
Nie. | String | Opis przypisania odmowy. |
Permissions.Actions |
Co najmniej jedna akcja lub jedna akcja DataActions | Ciąg[] | Tablica ciągów określających akcje płaszczyzny sterowania, do których przypisanie odmowy blokuje dostęp. |
Permissions.NotActions |
Nie. | Ciąg[] | Tablica ciągów określających akcję płaszczyzny sterowania do wykluczenia z przypisania odmowy. |
Permissions.DataActions |
Co najmniej jedna akcja lub jedna akcja DataActions | Ciąg[] | Tablica ciągów określających akcje płaszczyzny danych, do których przypisanie odmowy blokuje dostęp. |
Permissions.NotDataActions |
Nie. | Ciąg[] | Tablica ciągów określających akcje płaszczyzny danych do wykluczenia z przypisania odmowy. |
Scope |
Nie. | String | Ciąg określający zakres, do którego ma zastosowanie przypisanie odmowy. |
DoNotApplyToChildScopes |
Nie. | Wartość logiczna | Określa, czy przypisanie odmowy ma zastosowanie do zakresów podrzędnych. Wartość domyślna to false. |
Principals[i].Id |
Tak | Ciąg[] | Tablica identyfikatorów obiektów głównych firmy Microsoft Entra (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej), do których ma zastosowanie przypisanie odmowy. Ustaw wartość pustego identyfikatora GUID 00000000-0000-0000-0000-000000000000 , aby reprezentować wszystkie podmioty zabezpieczeń. |
Principals[i].Type |
Nie. | Ciąg[] | Tablica typów obiektów reprezentowanych przez podmioty zabezpieczeń[i].Id. Ustaw na wartość , aby reprezentować SystemDefined wszystkie podmioty zabezpieczeń. |
ExcludePrincipals[i].Id |
Nie. | Ciąg[] | Tablica identyfikatorów obiektów głównych firmy Microsoft Entra (użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej), do których przypisanie odmowy nie ma zastosowania. |
ExcludePrincipals[i].Type |
Nie. | Ciąg[] | Tablica typów obiektów reprezentowanych przez element ExcludePrincipals[i].Id. |
IsSystemProtected |
Nie. | Wartość logiczna | Określa, czy to przypisanie odmowy zostało utworzone przez platformę Azure i nie można go edytować ani usunąć. Obecnie wszystkie przypisania odmowy są chronione przez system. |
Podmiot zabezpieczeń wszystkich podmiotów zabezpieczeń
Aby obsługiwać przypisania odmowy, wprowadzono podmiot zabezpieczeń zdefiniowany przez system o nazwie Wszystkie podmioty zabezpieczeń . Ten podmiot zabezpieczeń reprezentuje wszystkich użytkowników, grupy, jednostki usługi i tożsamości zarządzane w katalogu firmy Microsoft Entra. Jeśli identyfikator podmiotu zabezpieczeń ma zerowy identyfikator GUID 00000000-0000-0000-0000-000000000000
, a typ podmiotu zabezpieczeń to SystemDefined
, podmiot zabezpieczeń reprezentuje wszystkie podmioty zabezpieczeń. W danych wyjściowych programu Azure PowerShell wszystkie podmioty zabezpieczeń wyglądają następująco:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Wszystkie podmioty zabezpieczeń można łączyć w ExcludePrincipals
celu odmowy wszystkich podmiotów zabezpieczeń z wyjątkiem niektórych użytkowników. Wszystkie podmioty zabezpieczeń mają następujące ograniczenia:
- Można używać tylko w programie
Principals
i nie można go używać w programieExcludePrincipals
. Principals[i].Type
musi być ustawiona naSystemDefined
.
Lista przypisań odmowy
Wykonaj następujące kroki, aby wyświetlić listę przypisań odmowy.
Ważne
Nie można bezpośrednio tworzyć własnych przypisań odmowy. Przypisania odmowy są tworzone i zarządzane przez platformę Azure. Aby uzyskać więcej informacji, zobacz Ochrona zasobów zarządzanych przed usunięciem.
Wymagania wstępne
Aby uzyskać informacje o przypisaniu odmowy, musisz mieć następujące elementy:
Microsoft.Authorization/denyAssignments/read
uprawnienie, które jest uwzględniane w większości wbudowanych ról platformy Azure.
Wyświetlanie listy przypisań odmowy w witrynie Azure Portal
Wykonaj następujące kroki, aby wyświetlić listę przypisań odmowy w zakresie subskrypcji lub grupy zarządzania.
W witrynie Azure Portal otwórz wybrany zakres, taki jak grupa zasobów lub subskrypcja.
Wybierz pozycję Kontrola dostępu (IAM).
Wybierz kartę Odmów przypisań (lub wybierz przycisk Wyświetl przypisania odmowy na kafelku Wyświetl przypisania odmowy).
Jeśli istnieją jakiekolwiek przypisania odmowy w tym zakresie lub dziedziczone do tego zakresu, zostaną one wyświetlone.
Aby wyświetlić dodatkowe kolumny, wybierz pozycję Edytuj kolumny.
Kolumna Opis Nazwa/nazwisko Nazwa przypisania odmowy. Typ podmiotu zabezpieczeń Użytkownik, grupa, grupa zdefiniowana przez system lub jednostka usługi. Odmówiony Nazwa podmiotu zabezpieczeń uwzględnionego w przypisaniu odmowy. Id Unikatowy identyfikator przypisania odmowy. Wykluczone podmioty zabezpieczeń Czy istnieją podmioty zabezpieczeń wykluczone z przypisania odmowy. Nie dotyczy elementów podrzędnych Określa, czy przypisanie odmowy jest dziedziczone do podzakresów. Ochrona systemu Czy przypisanie odmowy jest zarządzane przez platformę Azure. Obecnie zawsze tak. Scope Grupa zarządzania, subskrypcja, grupa zasobów lub zasób. Dodaj znacznik wyboru do dowolnego z włączonych elementów, a następnie wybierz przycisk OK , aby wyświetlić wybrane kolumny.
Wyświetlanie szczegółów dotyczących przypisania odmowy
Wykonaj następujące kroki, aby wyświetlić dodatkowe szczegóły dotyczące przypisania odmowy.
Otwórz okienko Odmów przypisań zgodnie z opisem w poprzedniej sekcji.
Wybierz nazwę przypisania odmowy, aby otworzyć stronę Użytkownicy .
Strona Użytkownicy zawiera następujące dwie sekcje.
Ustawienie Odmowy opis Przypisanie odmowy ma zastosowanie do Podmioty zabezpieczeń, do których ma zastosowanie przypisanie odmowy. Wykluczanie przypisania odmowy Podmioty zabezpieczeń wykluczone z przypisania odmowy. Jednostka zdefiniowana przez system reprezentuje wszystkich użytkowników, grupy, jednostki usługi i tożsamości zarządzane w katalogu usługi Azure AD.
Aby wyświetlić listę uprawnień, które zostały odrzucone, wybierz pozycję Odmów uprawnień.
Typ akcji opis Akcje Odrzucone akcje płaszczyzny sterowania. NotActions Akcje płaszczyzny sterowania wykluczone z odrzuconych akcji płaszczyzny sterowania. DataActions Odrzucone akcje płaszczyzny danych. NotDataActions Akcje płaszczyzny danych wykluczone z odrzuconych akcji płaszczyzny danych. W przykładzie pokazanym na poprzednim zrzucie ekranu obowiązują następujące uprawnienia:
- Wszystkie akcje magazynu na płaszczyźnie danych są odrzucane z wyjątkiem akcji obliczeniowych.
Aby wyświetlić właściwości przypisania odmowy, wybierz pozycję Właściwości.
Na stronie Właściwości można zobaczyć nazwę przypisania odmowy, identyfikator, opis i zakres. Przełącznik Nie dotyczy elementów podrzędnych wskazuje, czy przypisanie odmowy jest dziedziczone do podzakresów. Przełącznik chroniony przez system wskazuje, czy to przypisanie odmowy jest zarządzane przez platformę Azure. Obecnie jest to wartość Tak we wszystkich przypadkach.