Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Ações de autorização
Esta seção lista as ações de autorização suportadas que você pode direcionar para condições.
Criar ou atualizar atribuições de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | Criar ou atualizar atribuições de função |
| Descrição | Ação do plano de controle para criar atribuições de função |
| Ação | Microsoft.Authorization/roleAssignments/write |
| Atributos de recurso | |
| Atributos de solicitação |
ID de definição de função Principal ID Tipo principal |
| Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})Exemplo: restringir funções |
Excluir uma atribuição de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | Excluir uma atribuição de função |
| Descrição | Ação do plano de controlo para a remoção de atribuições de função |
| Ação | Microsoft.Authorization/roleAssignments/delete |
| Atributos de recurso |
ID de definição de função Principal ID Tipo principal |
| Atributos de solicitação | |
| Exemplos | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})Exemplo: restringir funções |
Atributos de autorização
Esta seção lista os atributos de autorização que você pode usar em suas expressões de condição, dependendo da ação direcionada. Se você selecionar várias ações para uma única condição, pode haver menos atributos para escolher para sua condição, porque os atributos devem estar disponíveis nas ações selecionadas.
ID de definição de função
| Propriedade | Valor |
|---|---|
| Nome de exibição | ID de definição de função |
| Descrição | O ID de definição de função usado na atribuição de função |
| Atributo | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | Identificador Globalmente Único (GUID) |
| Operadores |
GuidEquals GuidNotEquals ParaQualquerDeQualquerValores:GuidIgual ForAnyOfAllValues:GuidNotEquals |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}Exemplo: restringir funções |
Principal ID
| Propriedade | Valor |
|---|---|
| Nome de exibição | Principal ID |
| Descrição | O identificador principal atribuído à função. Isso mapeia para o ID dentro do Active Directory. Ele pode apontar para um usuário, entidade de serviço ou grupo de segurança |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalId |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | Identificador Globalmente Único (GUID) |
| Operadores |
GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}Exemplo: restringir funções e grupos específicos |
Tipo principal
| Propriedade | Valor |
|---|---|
| Nome de exibição | Tipo principal |
| Descrição | Tipo de entidade principal representa um utilizador, grupo, principal de serviço ou identidade gerida que está a solicitar acesso aos recursos do Azure. Você pode atribuir uma função a qualquer uma dessas entidades de segurança |
| Atributo | Microsoft.Authorization/roleAssignments:PrincipalType |
| Origem do atributo | Solicitação Recurso |
| Tipo de atributo | STRING |
| Valores | Utilizador ServicePrincipal Grupo |
| Operadores |
StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
| Exemplos | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}Exemplo: restringir funções e tipos principais |