授权操作和属性

项目
05/06/2024

授权操作

本部分列出了可针对条件的受支持授权操作。

创建或更新角色分配

属性	值
显示名称	创建或更新角色分配
描述	用于创建角色分配的控制平面操作
Action	`Microsoft.Authorization/roleAssignments/write`
资源属性
请求属性	角色定义 ID 主体 ID 主体类型
示例	`!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})`

删除角色分配

属性	值
显示名称	删除角色分配
描述	用于删除角色分配的控制平面操作
Action	`Microsoft.Authorization/roleAssignments/delete`
资源属性	角色定义 ID 主体 ID 主体类型
请求属性
示例	`!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})`

授权属性

本部分列出了可以根据目标操作在条件表达式中使用的授权属性。如果针对单个条件选择多个操作，则能为条件选择的属性可能较少，因为这些属性必须在所选操作中可用。

角色定义 ID

属性	值
显示名称	角色定义 ID
描述	角色分配中使用的角色定义 ID
Attribute	`Microsoft.Authorization/roleAssignments:RoleDefinitionId`
特性源	请求资源
属性类型	GUID
运算符	GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
示例	`@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7}`

主体 ID

属性	值
显示名称	主体 ID
描述	分配给角色的主体 ID。这会映射到 Active Directory 中的 ID。它可以指向用户、服务主体或安全组
Attribute	`Microsoft.Authorization/roleAssignments:PrincipalId`
特性源	请求资源
属性类型	GUID
运算符	GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals
示例	`@Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0}`

主体类型

属性	值
显示名称	主体类型
描述	主体类型表示请求访问 Azure 资源的用户、组、服务主体或托管标识。可以将角色分配给其中任何一个安全主体
Attribute	`Microsoft.Authorization/roleAssignments:PrincipalType`
特性源	请求资源
属性类型	字符串
值	用户服务主体组
运算符	StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase
示例	`@Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'}`