Comprendre les affectations de refus relatives aux ressources AzureUnderstand deny assignments for Azure resources

À l’instar d’une attribution de rôle, une affectation de refus associe un ensemble d’actions de refus à un utilisateur, un groupe ou un principal de service, sur une étendue spécifique, afin de refuser l’accès.Similar to a role assignment, a deny assignment attaches a set of deny actions to a user, group, or service principal at a particular scope for the purpose of denying access. Les affectations de refus empêchent les utilisateurs d'effectuer des actions particulières sur les ressources Azure, même si une attribution de rôle leur confère un accès.Deny assignments block users from performing specific Azure resource actions even if a role assignment grants them access. Dans Azure, certains fournisseurs de ressources incluent désormais des affectations de refus.Some resource providers in Azure now include deny assignments.

À certains égards, les affectations de refus sont différentes des attributions de rôles.In some ways, deny assignments are different than role assignments. Les affectations de refus peuvent exclure des principaux et empêcher la transmission à des étendues enfant.Deny assignments can exclude principals and prevent inheritance to child scopes. Les affectations de refus s’appliquent également aux affectations d’administrateurs d’abonnements classiques.Deny assignments also apply to classic subscription administrator assignments.

Cet article explique comment définir des attributions de refus.This article describes how deny assignments are defined.

Notes

À ce stade, la seule façon d’ajouter vos propres affectations de refus est d’utiliser Azure Blueprints.At this time, the only way you can add your own deny assignments is by using Azure Blueprints. Pour plus d’informations, consultez Protéger les nouvelles ressources avec des verrous de ressources Azure Blueprints.For more information, see Protect new resources with Azure Blueprints resource locks.

Propriétés des attributions de refusDeny assignment properties

Une attribution de refus possède les propriétés suivantes :A deny assignment has the following properties:

PropriétéProperty ObligatoireRequired TypeType DescriptionDescription
DenyAssignmentName OuiYes StringString Nom d'affichage de l’attribution de refus.The display name of the deny assignment. Les noms doivent être uniques pour une étendue donnée.Names must be unique for a given scope.
Description Non No StringString Description de l’attribution de refus.The description of the deny assignment.
Permissions.Actions Au moins un élément Actions ou DataActionsAt least one Actions or one DataActions String[]String[] Tableau de chaînes qui spécifient les opérations de gestion auxquelles l’attribution de refus bloque l’accès.An array of strings that specify the management operations to which the deny assignment blocks access.
Permissions.NotActions Non No String[]String[] Tableau de chaînes qui spécifient les opérations de gestion à exclure de l’attribution de refus.An array of strings that specify the management operations to exclude from the deny assignment.
Permissions.DataActions Au moins un élément Actions ou DataActionsAt least one Actions or one DataActions String[]String[] Tableau de chaînes qui spécifient les opérations de données auxquelles l’attribution de refus bloque l’accès.An array of strings that specify the data operations to which the deny assignment blocks access.
Permissions.NotDataActions Non No String[]String[] Tableau de chaînes qui spécifient les opérations de données à exclure de l’attribution de refus.An array of strings that specify the data operations to exclude from the deny assignment.
Scope Non No StringString Chaîne qui spécifie l’étendue à laquelle l’attribution de refus s’applique.A string that specifies the scope that the deny assignment applies to.
DoNotApplyToChildScopes Non No BooleanBoolean Spécifie si l’attribution de refus s’applique aux étendues enfants.Specifies whether the deny assignment applies to child scopes. La valeur par défaut est false.Default value is false.
Principals[i].Id OuiYes String[]String[] Tableau d’ID d’objets principaux Azure AD (utilisateur, groupe, principal de service ou identité managée) auxquels s’applique l’affectation de refus.An array of Azure AD principal object IDs (user, group, service principal, or managed identity) to which the deny assignment applies. Définie sur un GUID vide 00000000-0000-0000-0000-000000000000 pour représenter tous les principaux.Set to an empty GUID 00000000-0000-0000-0000-000000000000 to represent all principals.
Principals[i].Type Non No String[]String[] Tableau de types d’objet représentés par Principals[i].Id. Définie sur SystemDefined pour représenter tous les principaux.An array of object types represented by Principals[i].Id. Set to SystemDefined to represent all principals.
ExcludePrincipals[i].Id Non No String[]String[] Tableau d’ID d’objets principaux Azure AD (utilisateur, groupe, principal de service ou identité managée) auxquels l’attribution de refus ne s’applique pas.An array of Azure AD principal object IDs (user, group, service principal, or managed identity) to which the deny assignment does not apply.
ExcludePrincipals[i].Type Non No String[]String[] Tableau de types d’objet représentés par ExcludePrincipals[i].Id.An array of object types represented by ExcludePrincipals[i].Id.
IsSystemProtected Non No BooleanBoolean Spécifie si cette attribution de refus a été créée par Azure et ne peut pas être modifiée ou supprimée.Specifies whether this deny assignment was created by Azure and cannot be edited or deleted. Actuellement, toutes les attributions de refus sont protégées par le système.Currently, all deny assignments are system protected.

Principal défini par le systèmeSystem-Defined Principal

Le principal défini par le système a été introduit pour prendre en charge les affectations de refus.To support deny assignments, the System-Defined Principal has been introduced. Ce principal représente tous les utilisateurs, groupes, principaux de service et identités managées figurant dans un annuaire Azure AD.This principal represents all users, groups, service principals, and managed identities in an Azure AD directory. Si l’ID du principal est un GUID nul 00000000-0000-0000-0000-000000000000, et le type de principal SystemDefined, le principal représente tous les principaux.If the principal ID is a zero GUID 00000000-0000-0000-0000-000000000000 and the principal type is SystemDefined, the principal represents all principals. SystemDefined peut être combiné avec ExcludePrincipals pour refuser tous les principaux, à l’exception de certains utilisateurs.SystemDefined can be combined with ExcludePrincipals to deny all principals except some users. SystemDefined présente les contraintes suivantes :SystemDefined has the following constraints:

  • Il peut être utilisé uniquement dans Principals et ne peut pas être utilisé dans ExcludePrincipals.Can be used only in Principals and cannot be used in ExcludePrincipals.
  • Principals[i].Type doit être défini sur SystemDefined.Principals[i].Type must be set to SystemDefined.

Étapes suivantesNext steps