Partilhar via


Ações e atributos de autorização

Ações de autorização

Esta seção lista as ações de autorização suportadas que você pode direcionar para condições.

Criar ou atualizar atribuições de função

Property valor
Nome a apresentar Criar ou atualizar atribuições de função
Descrição Ação do plano de controle para criar atribuições de função
Ação Microsoft.Authorization/roleAssignments/write
Atributos de recurso
Atributos de solicitação ID de definição de função
Principal ID
Tipo principal
Exemplos !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
Exemplo: restringir funções

Excluir uma atribuição de função

Property valor
Nome a apresentar Excluir uma atribuição de função
Descrição Ação do plano de controle para excluir atribuições de função
Ação Microsoft.Authorization/roleAssignments/delete
Atributos de recurso ID de definição de função
Principal ID
Tipo principal
Atributos de solicitação
Exemplos !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
Exemplo: restringir funções

Atributos de autorização

Esta seção lista os atributos de autorização que você pode usar em suas expressões de condição, dependendo da ação direcionada. Se você selecionar várias ações para uma única condição, pode haver menos atributos para escolher para sua condição, porque os atributos devem estar disponíveis nas ações selecionadas.

ID de definição de função

Property valor
Nome a apresentar ID de definição de função
Descrição O ID de definição de função usado na atribuição de função
Atributo Microsoft.Authorization/roleAssignments:RoleDefinitionId
Origem do atributo Pedir
Recurso
Tipo de atributo GUID
Operadores GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Exemplos @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}
Exemplo: restringir funções

Principal ID

Property valor
Nome a apresentar Principal ID
Descrição O ID principal atribuído à função. Isso mapeia para a ID dentro do Ative Directory. Ele pode apontar para um usuário, entidade de serviço ou grupo de segurança
Atributo Microsoft.Authorization/roleAssignments:PrincipalId
Origem do atributo Pedir
Recurso
Tipo de atributo GUID
Operadores GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
Exemplos @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
Exemplo: restringir funções e grupos específicos

Tipo de principal

Property valor
Nome a apresentar Tipo de principal
Descrição Tipo de entidade representa um usuário, grupo, entidade de serviço ou identidade gerenciada que está solicitando acesso aos recursos do Azure. Você pode atribuir uma função a qualquer uma dessas entidades de segurança
Atributo Microsoft.Authorization/roleAssignments:PrincipalType
Origem do atributo Pedir
Recurso
Tipo de atributo STRING
Valores User
ServicePrincipal
Agrupar
Operadores StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
ForAnyOfAnyValues:StringEqualsIgnoreCase
ForAnyOfAllValues:StringNotEqualsIgnoreCase
Exemplos @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
Exemplo: restringir funções e tipos principais

Próximos passos