Elencare le assegnazioni di ruolo di Azure
Simile a un'assegnazione di ruolo, un'assegnazione di rifiuto allega un set di azioni di rifiuto a un utente, gruppo o entità servizio in un determinato ambito con lo scopo di rifiutare l'accesso. Le assegnazioni di rifiuto impediscono agli utenti di eseguire azioni specifiche sulle risorse di Azure, anche se un'assegnazione di ruolo concede loro l'accesso.
Questo articolo descrive come elencare le assegnazioni di rifiuto.
Importante
Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure.
Come vengono create le assegnazioni di rifiuto
Le assegnazioni di rifiuto vengono create e gestite da Azure per proteggere le risorse. Non è possibile creare direttamente assegnazioni di rifiuto. Tuttavia, è possibile specificare le impostazioni di negazione durante la creazione di uno stack di distribuzione, che crea un'assegnazione di rifiuto di proprietà delle risorse dello stack di distribuzione. Gli stack di distribuzione sono attualmente in anteprima. Per altre informazioni, vedere Proteggere le risorse gestite dall'eliminazione.
Confrontare le assegnazioni di ruolo e negare le assegnazioni
Le assegnazioni di rifiuto seguono un modello simile a quello delle assegnazioni di ruolo, ma presentano anche alcune differenze.
Funzionalità | Assegnazione di ruolo | Assegnazione di rifiuto |
---|---|---|
Concedi accesso | ✅ | |
Rifiutare l'accesso | ✅ | |
Può essere creato direttamente | ✅ | |
Applicare in un ambito | ✅ | ✅ |
Escludere le entità | ✅ | |
Impedire l'ereditarietà agli ambiti figlio | ✅ | |
Applicare alle assegnazioni di amministratore della sottoscrizione classica | ✅ |
Proprietà dell'assegnazione di rifiuto
Un'assegnazione di rifiuto ha le seguenti proprietà:
Proprietà | Richiesto | Type | Descrizione |
---|---|---|---|
DenyAssignmentName |
Sì | String | Il nome visualizzato dell'assegnazione di rifiuto. I nomi devono essere univoci per un determinato ambito. |
Description |
No | String | La descrizione dell'assegnazione di rifiuto. |
Permissions.Actions |
Almeno un Actions o un DataActions | String[] | Matrice di stringhe che specificano le azioni del piano di controllo a cui l'assegnazione deny blocca l'accesso. |
Permissions.NotActions |
No | String[] | Matrice di stringhe che specificano l'azione del piano di controllo da escludere dall'assegnazione di rifiuto. |
Permissions.DataActions |
Almeno un Actions o un DataActions | String[] | Matrice di stringhe che specificano le azioni del piano dati a cui l'assegnazione nega blocca l'accesso. |
Permissions.NotDataActions |
No | String[] | Matrice di stringhe che specificano le azioni del piano dati da escludere dall'assegnazione di rifiuto. |
Scope |
No | String | Una stringa che specifica l'ambito a cui si applica l'assegnazione di rifiuto. |
DoNotApplyToChildScopes |
No | Booleano | Specifica se l'assegnazione di rifiuto è valida per gli ambiti figlio. Il valore predefinito è false. |
Principals[i].Id |
Sì | String[] | Matrice di ID oggetto dell'entità Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui si applica l'assegnazione di rifiuto. Impostare un GUID vuoto 00000000-0000-0000-0000-000000000000 per rappresentare tutte le entità. |
Principals[i].Type |
No | String[] | Matrice di tipi di oggetto rappresentati da Principals[i].Id. Impostare su SystemDefined per rappresentare tutte le entità. |
ExcludePrincipals[i].Id |
No | String[] | Matrice di ID oggetto dell'entità Microsoft Entra (utente, gruppo, entità servizio o identità gestita) a cui l'assegnazione di rifiuto non è applicabile. |
ExcludePrincipals[i].Type |
No | String[] | Una matrice di tipi di oggetto rappresentati da ExcludePrincipals[i].Id. |
IsSystemProtected |
No | Booleano | Specifica se questa assegnazione di rifiuto è stata creata da Azure e non può essere modificata o eliminata. Attualmente, tutte le assegnazioni di rifiuto sono protette dal sistema. |
Entità tutte le entità
Per supportare le assegnazioni di rifiuto, è stata introdotta un'entità definita dal sistema denominata All Principals . Questa entità rappresenta tutti gli utenti, i gruppi, le entità servizio e le identità gestite in una directory Microsoft Entra. Se l'ID entità è un GUID zero 00000000-0000-0000-0000-000000000000
e il tipo di entità è SystemDefined
, l'entità rappresenta tutte le entità. Nell'output di Azure PowerShell tutte le entità sono simili alle seguenti:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
Tutte le entità possono essere combinate con ExcludePrincipals
per negare tutte le entità ad eccezione di alcuni utenti. Tutte le entità hanno i vincoli seguenti:
- Può essere usata solo con
Principals
e non può essere usata conExcludePrincipals
. Principals[i].Type
deve essere impostato suSystemDefined
.
Visualizzare le assegnazioni di rifiuto
Seguire questa procedura per elencare le assegnazioni di rifiuto.
Importante
Non è possibile creare direttamente assegnazioni di rifiuto. Le assegnazioni di rifiuto vengono create e gestite da Azure. Per altre informazioni, vedere Proteggere le risorse gestite dall'eliminazione.
Prerequisiti
Per ottenere informazioni su un'assegnazione di rifiuto, è necessario disporre di:
Microsoft.Authorization/denyAssignments/read
autorizzazione, inclusa nella maggior parte dei ruoli predefiniti di Azure.
Elencare le assegnazioni di rifiuto nel portale di Azure
Seguire questa procedura per elencare le assegnazioni di rifiuto nell'ambito della sottoscrizione o del gruppo di gestione.
Nella portale di Azure aprire l'ambito selezionato, ad esempio gruppo di risorse o sottoscrizione.
Seleziona Controllo di accesso (IAM).
Selezionare la scheda Nega assegnazioni oppure selezionare il pulsante Visualizza nel riquadro Visualizza assegnazioni di rifiuto.
Se sono presenti assegnazioni di rifiuto in questo ambito o ereditate in questo ambito, verranno elencate.
Per visualizzare colonne aggiuntive, selezionare Modifica colonne.
Colonna Descrizione Nome Il nome dell'assegnazione di rifiuto. Tipo di entità Utente, gruppo, gruppo definito dal sistema gruppo o entità servizio. Negato Nome dell'entità di sicurezza che è inclusa nell'assegnazione di rifiuto. ID Identificatore univoco per l'assegnazione di rifiuto. Entità di sicurezza escluse Se sono presenti entità di sicurezza che sono escluse dall'assegnazione di rifiuto. Non applicabile agli elementi figlio Se l'assegnazione di rifiuto è ereditata da ambiti secondari. Con protezione sistema Se l'assegnazione di rifiuto è gestita da Azure. Attualmente, sempre Sì. Scope Gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Aggiungere un segno di spunta a uno qualsiasi degli elementi abilitati e quindi selezionare OK per visualizzare le colonne selezionate.
Elencare i dettagli relativi a un'assegnazione di rifiuto
Seguire questa procedura per elencare dettagli aggiuntivi su un'assegnazione di rifiuto.
Aprire il riquadro Assegnazioni di rifiuto come descritto nella sezione precedente.
Selezionare il nome dell'assegnazione di rifiuto per aprire la pagina Utenti .
La pagina Utenti include le due sezioni seguenti.
Impostazione Nega Descrizione Assegnazione di rifiuto applicabile a Entità di sicurezza a cui si applica l'assegnazione di rifiuto. Elementi esclusi dall'assegnazione di rifiuto Entità di sicurezza che sono escluse dall'assegnazione di rifiuto. L'entità definita dal servizio rappresenta tutti gli utenti, i gruppi, le entità servizio e le identità gestite in una directory di Azure AD.
Per visualizzare un elenco delle autorizzazioni negate, selezionare Autorizzazioni negate.
Tipo di azione Descrizione Azioni Azioni del piano di controllo negato. NotActions Azioni del piano di controllo escluse dalle azioni del piano di controllo negato. DataActions Azioni del piano dati negato. NotDataActions Azioni del piano dati escluse dalle azioni del piano dati negato. Nell'esempio illustrato nello screenshot precedente, le autorizzazioni valide sono le seguenti:
- Tutte le azioni di archiviazione nel piano dati vengono negate, ad eccezione delle azioni di calcolo.
Per visualizzare le proprietà per un'assegnazione di rifiuto, selezionare Proprietà.
Nella pagina Proprietà è possibile visualizzare il nome dell'assegnazione di rifiuto, l'ID, la descrizione e l'ambito. Il commutatore Non si applica agli elementi figlio indica se l'assegnazione di rifiuto è ereditata da ambiti secondari. Il commutatore Protette del sistema indica se questo assegnazione di rifiuto viene gestita da Azure. Attualmente, è Sì in tutti i casi.