Ações e atributos de autorização
Ações de autorização
Esta seção lista as ações de autorização suportadas que você pode direcionar para condições.
Criar ou atualizar atribuições de função
Property | valor |
---|---|
Nome a apresentar | Criar ou atualizar atribuições de função |
Descrição | Ação do plano de controle para criar atribuições de função |
Ação | Microsoft.Authorization/roleAssignments/write |
Atributos de recurso | |
Atributos de solicitação | ID de definição de função Principal ID Tipo principal |
Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}) Exemplo: restringir funções |
Excluir uma atribuição de função
Property | valor |
---|---|
Nome a apresentar | Excluir uma atribuição de função |
Descrição | Ação do plano de controle para excluir atribuições de função |
Ação | Microsoft.Authorization/roleAssignments/delete |
Atributos de recurso | ID de definição de função Principal ID Tipo principal |
Atributos de solicitação | |
Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'}) Exemplo: restringir funções |
Atributos de autorização
Esta seção lista os atributos de autorização que você pode usar em suas expressões de condição, dependendo da ação direcionada. Se você selecionar várias ações para uma única condição, pode haver menos atributos para escolher para sua condição, porque os atributos devem estar disponíveis nas ações selecionadas.
ID de definição de função
Property | valor |
---|---|
Nome a apresentar | ID de definição de função |
Descrição | O ID de definição de função usado na atribuição de função |
Atributo | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
Origem do atributo | Pedir Recurso |
Tipo de atributo | GUID |
Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
Exemplos | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7} Exemplo: restringir funções |
Principal ID
Property | valor |
---|---|
Nome a apresentar | Principal ID |
Descrição | O ID principal atribuído à função. Isso mapeia para a ID dentro do Ative Directory. Ele pode apontar para um usuário, entidade de serviço ou grupo de segurança |
Atributo | Microsoft.Authorization/roleAssignments:PrincipalId |
Origem do atributo | Pedir Recurso |
Tipo de atributo | GUID |
Operadores | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0} Exemplo: restringir funções e grupos específicos |
Tipo de principal
Property | valor |
---|---|
Nome a apresentar | Tipo de principal |
Descrição | Tipo de entidade representa um usuário, grupo, entidade de serviço ou identidade gerenciada que está solicitando acesso aos recursos do Azure. Você pode atribuir uma função a qualquer uma dessas entidades de segurança |
Atributo | Microsoft.Authorization/roleAssignments:PrincipalType |
Origem do atributo | Pedir Recurso |
Tipo de atributo | STRING |
Valores | User ServicePrincipal Agrupar |
Operadores | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'} Exemplo: restringir funções e tipos principais |