授权操作和属性

授权操作

本部分列出了可针对条件的受支持授权操作。

创建或更新角色分配

属性
显示名称 创建或更新角色分配
描述 用于创建角色分配的控制平面操作
Action Microsoft.Authorization/roleAssignments/write
资源属性
请求属性 角色定义 ID
主体 ID
主体类型
示例 !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})

删除角色分配

属性
显示名称 删除角色分配
描述 用于删除角色分配的控制平面操作
Action Microsoft.Authorization/roleAssignments/delete
资源属性 角色定义 ID
主体 ID
主体类型
请求属性
示例 !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})

授权属性

本部分列出了可以根据目标操作在条件表达式中使用的授权属性。 如果针对单个条件选择多个操作,则能为条件选择的属性可能较少,因为这些属性必须在所选操作中可用。

角色定义 ID

属性
显示名称 角色定义 ID
描述 角色分配中使用的角色定义 ID
Attribute Microsoft.Authorization/roleAssignments:RoleDefinitionId
特性源 请求
资源
属性类型 GUID
运算符 GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
示例 @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}

主体 ID

属性
显示名称 主体 ID
描述 分配给角色的主体 ID。 这会映射到 Active Directory 中的 ID。 它可以指向用户、服务主体或安全组
Attribute Microsoft.Authorization/roleAssignments:PrincipalId
特性源 请求
资源
属性类型 GUID
运算符 GuidEquals
GuidNotEquals
ForAnyOfAnyValues:GuidEquals
ForAnyOfAllValues:GuidNotEquals
示例 @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}

主体类型

属性
显示名称 主体类型
描述 主体类型表示请求访问 Azure 资源的用户、组、服务主体或托管标识。 可以将角色分配给其中任何一个安全主体
Attribute Microsoft.Authorization/roleAssignments:PrincipalType
特性源 请求
资源
属性类型 字符串
用户
服务主体
运算符 StringEqualsIgnoreCase
StringNotEqualsIgnoreCase
ForAnyOfAnyValues:StringEqualsIgnoreCase
ForAnyOfAllValues:StringNotEqualsIgnoreCase
示例 @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}