授权操作和属性
授权操作
本部分列出了可针对条件的受支持授权操作。
创建或更新角色分配
属性 | 值 |
---|---|
显示名称 | 创建或更新角色分配 |
描述 | 用于创建角色分配的控制平面操作 |
Action | Microsoft.Authorization/roleAssignments/write |
资源属性 | |
请求属性 | 角色定义 ID 主体 ID 主体类型 |
示例 | !(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}) |
删除角色分配
属性 | 值 |
---|---|
显示名称 | 删除角色分配 |
描述 | 用于删除角色分配的控制平面操作 |
Action | Microsoft.Authorization/roleAssignments/delete |
资源属性 | 角色定义 ID 主体 ID 主体类型 |
请求属性 | |
示例 | !(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'}) |
授权属性
本部分列出了可以根据目标操作在条件表达式中使用的授权属性。 如果针对单个条件选择多个操作,则能为条件选择的属性可能较少,因为这些属性必须在所选操作中可用。
角色定义 ID
属性 | 值 |
---|---|
显示名称 | 角色定义 ID |
描述 | 角色分配中使用的角色定义 ID |
Attribute | Microsoft.Authorization/roleAssignments:RoleDefinitionId |
特性源 | 请求 资源 |
属性类型 | GUID |
运算符 | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
示例 | @Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {b24988ac-6180-42a0-ab88-20f7382dd24c, acdd72a7-3385-48ef-bd42-f606fba81ae7} |
主体 ID
属性 | 值 |
---|---|
显示名称 | 主体 ID |
描述 | 分配给角色的主体 ID。 这会映射到 Active Directory 中的 ID。 它可以指向用户、服务主体或安全组 |
Attribute | Microsoft.Authorization/roleAssignments:PrincipalId |
特性源 | 请求 资源 |
属性类型 | GUID |
运算符 | GuidEquals GuidNotEquals ForAnyOfAnyValues:GuidEquals ForAnyOfAllValues:GuidNotEquals |
示例 | @Request[Microsoft.Authorization/roleAssignments:PrincipalId] ForAnyOfAnyValues:GuidEquals {28c35fea-2099-4cf5-8ad9-473547bc9423, 86951b8b-723a-407b-a74a-1bca3f0c95d0} |
主体类型
属性 | 值 |
---|---|
显示名称 | 主体类型 |
描述 | 主体类型表示请求访问 Azure 资源的用户、组、服务主体或托管标识。 可以将角色分配给其中任何一个安全主体 |
Attribute | Microsoft.Authorization/roleAssignments:PrincipalType |
特性源 | 请求 资源 |
属性类型 | 字符串 |
值 | 用户 服务主体 组 |
运算符 | StringEqualsIgnoreCase StringNotEqualsIgnoreCase ForAnyOfAnyValues:StringEqualsIgnoreCase ForAnyOfAllValues:StringNotEqualsIgnoreCase |
示例 | @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User', 'Group'} |