Azure portalını ve koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.
Rol ataması ekleme ve kaldırma eylemlerini hedeflemek için iki koşul eklemeniz gerektiğine dikkat edin. Öznitelik kaynağı her eylem için farklı olduğundan iki koşul eklemeniz gerekir. Her iki eylemi de aynı koşulda hedeflemeye çalışırsanız, ifade ekleyemezsiniz. Daha fazla bilgi için bkz . Belirti - Kullanılabilir seçenek yok hatası.
Azure portalını ve koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.
Rol ataması ekleme ve kaldırma eylemlerini hedeflemek için iki koşul eklemeniz gerektiğine dikkat edin. Öznitelik kaynağı her eylem için farklı olduğundan iki koşul eklemeniz gerekir. Her iki eylemi de aynı koşulda hedeflemeye çalışırsanız, ifade ekleyemezsiniz. Daha fazla bilgi için bkz . Belirti - Kullanılabilir seçenek yok hatası.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}
)
)
Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Örnek: Rolleri ve belirli grupları kısıtlama
Bu koşul, temsilcinin yalnızca Yedekleme Katkıda Bulunanı veya Yedekleme Okuyucusu rolleri için rol atamaları eklemesine veya kaldırmasına olanak tanır. Ayrıca temsilci bu rolleri yalnızca Marketing (28c35fea-2099-4cf5-8ad9-473547bc9423) veya Sales (86951b8b-723a-407b-a74a-1bca3f0c95d0) adlı belirli gruplara atayabilir.
Bu koşulu, temsilcinin aşağıdaki eylemleri içeren rol atamalarına eklemeniz gerekir.
Azure portalını ve koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.
Rol ataması ekleme ve kaldırma eylemlerini hedeflemek için iki koşul eklemeniz gerektiğine dikkat edin. Öznitelik kaynağı her eylem için farklı olduğundan iki koşul eklemeniz gerekir. Her iki eylemi de aynı koşulda hedeflemeye çalışırsanız, ifade ekleyemezsiniz. Daha fazla bilgi için bkz . Belirti - Kullanılabilir seçenek yok hatası.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}
)
)
Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Örnek: Sanal makine yönetimini kısıtlama
Bu koşul, temsilcinin yalnızca Sanal Makine Yönetici Istrator Oturum Açma veya Sanal Makine Kullanıcı Oturumu Açma rolleri için rol atamaları eklemesine veya kaldırmasına olanak tanır. Ayrıca, temsilci bu rolleri yalnızca Dara adlı belirli bir kullanıcıya atayabilir (ea585310-c95c-4a68-af22-49af4363bbb1).
Bu koşul, temsilcinin yeni oluşturduğu bir sanal makine için kendilerine sanal makine oturum açma rolü atamasına izin vermek istediğinizde kullanışlıdır.
Bu koşulu, temsilcinin aşağıdaki eylemleri içeren rol atamalarına eklemeniz gerekir.
Azure portalını ve koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.
Rol ataması ekleme ve kaldırma eylemlerini hedeflemek için iki koşul eklemeniz gerektiğine dikkat edin. Öznitelik kaynağı her eylem için farklı olduğundan iki koşul eklemeniz gerekir. Her iki eylemi de aynı koşulda hedeflemeye çalışırsanız, ifade ekleyemezsiniz. Daha fazla bilgi için bkz . Belirti - Kullanılabilir seçenek yok hatası.
Bu koşul, temsilcinin yeni oluşturdukları bir küme için kendilerine Azure Kubernetes Service (AKS) kümesi veri düzlemi yetkilendirme rolleri atamasına izin vermek istediğinizde kullanışlıdır.
Bu koşulu, temsilcinin aşağıdaki eylemleri içeren rol atamalarına eklemeniz gerekir.
Azure portalını ve koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.
Rol ataması ekleme ve kaldırma eylemlerini hedeflemek için iki koşul eklemeniz gerektiğine dikkat edin. Öznitelik kaynağı her eylem için farklı olduğundan iki koşul eklemeniz gerekir. Her iki eylemi de aynı koşulda hedeflemeye çalışırsanız, ifade ekleyemezsiniz. Daha fazla bilgi için bkz . Belirti - Kullanılabilir seçenek yok hatası.
Bu koşul, bir geliştiricinin Azure Container Registry'den (ACR) görüntü çekebilmesi için AcrPull rolünü yönetilen bir kimliğe atamasına izin vermek istediğinizde kullanışlıdır.
Bu koşulu, temsilcinin aşağıdaki eylemleri içeren rol atamalarına eklemeniz gerekir.
Azure portalını ve koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.
Rol ataması ekleme ve kaldırma eylemlerini hedeflemek için iki koşul eklemeniz gerektiğine dikkat edin. Öznitelik kaynağı her eylem için farklı olduğundan iki koşul eklemeniz gerekir. Her iki eylemi de aynı koşulda hedeflemeye çalışırsanız, ifade ekleyemezsiniz. Daha fazla bilgi için bkz . Belirti - Kullanılabilir seçenek yok hatası.
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})
)
OR
(
@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
AND
(
(
!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})
)
OR
(
@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d}
AND
@Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}
)
)
Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.
$roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
$principalId = "<principalId>"
$scope = "/subscriptions/<subscriptionId>"
$condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {7f951dda-4ed3-4680-a7ca-43fe172d538d} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'ServicePrincipal'}))"
$conditionVersion = "2.0"
New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
Örnek: Rol atamaları eklemeyi kısıtla
Bu koşul, temsilcinin yalnızca Yedekleme Katkıda Bulunanı veya Yedekleme Okuyucusu rolleri için rol atamaları eklemesine olanak tanır. Temsilci tüm rol atamalarını kaldırabilir.
Bu koşulu, temsilcinin aşağıdaki eylemi içeren rol atamalarına eklemeniz gerekir.
Bu koşul, bir temsilcinin çoğu rolü atamasına izin vermek istediğinizde, ancak temsilcinin başkalarının rol atamasına izin vermemesini istediğinizde kullanışlıdır.
Not
Bu koşul dikkatli kullanılmalıdır. Daha sonra rol atamaları oluşturma iznini içeren yeni bir yerleşik veya özel rol eklenirse, bu koşul temsilcinin rol atamasını engellemez. Koşulun yeni yerleşik veya özel rolü içerecek şekilde güncelleştirilmiş olması gerekir.
Bu koşulu, temsilcinin aşağıdaki eylemleri içeren rol atamalarına eklemeniz gerekir.
Azure portalını ve koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.
Rol ataması ekleme ve kaldırma eylemlerini hedeflemek için iki koşul eklemeniz gerektiğine dikkat edin. Öznitelik kaynağı her eylem için farklı olduğundan iki koşul eklemeniz gerekir. Her iki eylemi de aynı koşulda hedeflemeye çalışırsanız, ifade ekleyemezsiniz. Daha fazla bilgi için bkz . Belirti - Kullanılabilir seçenek yok hatası.
