Akce a atributy autorizace
Akce autorizace
Tato část obsahuje seznam podporovaných akcí autorizace, na které můžete cílit pro podmínky.
Vytvoření nebo aktualizace přiřazení rolí
| Vlastnost | Hodnota |
|---|---|
| Zobrazované jméno | Vytvoření nebo aktualizace přiřazení rolí |
| Popis | Akce řídicí roviny pro vytváření přiřazení rolí |
| Akce | Microsoft.Authorization/roleAssignments/write |
| Atributy prostředků | |
| Atributy požadavku | ID definice role ID objektu zabezpečení Typ objektu zabezpečení |
| Příklady | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Příklad: Omezení rolí |
Odstranění přiřazení role
| Vlastnost | Hodnota |
|---|---|
| Zobrazované jméno | Odstranění přiřazení role |
| Popis | Akce řídicí roviny pro odstranění přiřazení rolí |
| Akce | Microsoft.Authorization/roleAssignments/delete |
| Atributy prostředků | ID definice role ID objektu zabezpečení Typ objektu zabezpečení |
| Atributy požadavku | |
| Příklady | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Příklad: Omezení rolí |
Atributy autorizace
Tato část obsahuje seznam atributů autorizace, které můžete použít ve výrazech podmínky v závislosti na akci, na kterou cílíte. Pokud pro jednu podmínku vyberete více akcí, může být pro vaši podmínku méně atributů, protože atributy musí být dostupné napříč vybranými akcemi.
ID definice role
| Vlastnost | Hodnota |
|---|---|
| Zobrazované jméno | ID definice role |
| Popis | ID definice role použité v přiřazení role |
| Atribut | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Zdroj atributů | Žádost Prostředek |
| Typ atributu | Identifikátor GUID |
| Operátory | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Příklady | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Příklad: Omezení rolí |
ID objektu zabezpečení
| Vlastnost | Hodnota |
|---|---|
| Zobrazované jméno | ID objektu zabezpečení |
| Popis | ID objektu zabezpečení přiřazené k roli. Tím se mapuje na ID ve službě Active Directory. Může odkazovat na uživatele, instanční objekt nebo skupinu zabezpečení. |
| Atribut | Microsoft.Authorization/roleAssignments:PrincipalId |
| Zdroj atributů | Žádost Prostředek |
| Typ atributu | Identifikátor GUID |
| Operátory | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Příklady | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Příklad: Omezení rolí a konkrétních skupin |
Typ objektu zabezpečení
| Vlastnost | Hodnota |
|---|---|
| Zobrazované jméno | Typ objektu zabezpečení |
| Popis | Typ objektu zabezpečení představuje uživatele, skupinu, instanční objekt nebo spravovanou identitu, která požaduje přístup k prostředkům Azure. Roli můžete přiřadit k některému z těchto objektů zabezpečení. |
| Atribut | Microsoft.Authorization/roleAssignments:PrincipalType |
| Zdroj atributů | Žádost Prostředek |
| Typ atributu | STRING |
| Hodnoty | Uživatelská ServicePrincipal Seskupit |
| Operátory | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Příklady | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Příklad: Omezení rolí a typů objektů zabezpečení |