Auktoriseringsåtgärder och attribut
Auktoriseringsåtgärder
I det här avsnittet visas de auktoriseringsåtgärder som stöds som du kan rikta in dig på för villkor.
Skapa eller uppdatera rolltilldelningar
| Property | Värde |
|---|---|
| Visningsnamn | Skapa eller uppdatera rolltilldelningar |
| Beskrivning | Kontrollplansåtgärd för att skapa rolltilldelningar |
| Åtgärd | Microsoft.Authorization/roleAssignments/write |
| Resursattribut | |
| Begärandeattribut | Rolldefinitions-ID Huvudnamns-ID Huvudnamnstyp |
| Exempel | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Exempel: Begränsa roller |
Ta bort en rolltilldelning
| Property | Värde |
|---|---|
| Visningsnamn | Ta bort en rolltilldelning |
| Beskrivning | Kontrollplansåtgärd för att ta bort rolltilldelningar |
| Åtgärd | Microsoft.Authorization/roleAssignments/delete |
| Resursattribut | Rolldefinitions-ID Huvudnamns-ID Huvudnamnstyp |
| Begärandeattribut | |
| Exempel | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Exempel: Begränsa roller |
Auktoriseringsattribut
I det här avsnittet visas de auktoriseringsattribut som du kan använda i villkorsuttrycken beroende på vilken åtgärd du riktar in dig på. Om du väljer flera åtgärder för ett enda villkor kan det finnas färre attribut att välja mellan för ditt villkor eftersom attributen måste vara tillgängliga för de valda åtgärderna.
Rolldefinitions-ID
| Property | Värde |
|---|---|
| Visningsnamn | Rolldefinitions-ID |
| Beskrivning | Rolldefinitions-ID:t som används i rolltilldelningen |
| Attribut | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Attributkälla | Förfrågan Resurs |
| Attributtyp | GUID |
| Operatorer | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exempel | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Exempel: Begränsa roller |
Huvudnamns-ID
| Property | Värde |
|---|---|
| Visningsnamn | Huvudnamns-ID |
| Beskrivning | Det huvud-ID som tilldelats rollen. Detta mappar till ID:t i Active Directory. Den kan peka på en användare, tjänstens huvudnamn eller säkerhetsgrupp |
| Attribut | Microsoft.Authorization/roleAssignments:PrincipalId |
| Attributkälla | Förfrågan Resurs |
| Attributtyp | GUID |
| Operatorer | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exempel | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Exempel: Begränsa roller och specifika grupper |
Typ av huvudkonto
| Property | Värde |
|---|---|
| Visningsnamn | Typ av huvudkonto |
| Beskrivning | Huvudtypen representerar en användare, grupp, tjänstens huvudnamn eller hanterad identitet som begär åtkomst till Azure-resurser. Du kan tilldela en roll till något av dessa säkerhetsobjekt |
| Attribut | Microsoft.Authorization/roleAssignments:PrincipalType |
| Attributkälla | Förfrågan Resurs |
| Attributtyp | STRÄNG |
| Värden | User ServicePrincipal Grupp |
| Operatorer | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Exempel | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Exempel: Begränsa roller och huvudnamnstyper |