Mencantumkan penugasan penolakan Azure
Mirip dengan penetapan peran, penetapan penolakan melampirkan serangkaian tindakan penolakan kepada pengguna, grup, atau perwakilan layanan pada lingkup tertentu untuk tujuan menolak akses. Penetapan penolakan memblokir pengguna dari melakukan tindakan sumber daya Azure tertentu meskipun penetapan peran memberinya akses.
Artikel ini menjelaskan cara mencantumkan penugasan penolakan.
Penting
Anda tidak bisa langsung membuat tugas penolakan Anda sendiri. Penugasan penolakan dibuat dan dikelola oleh Azure.
Bagaimana penetapan penolakan dibuat
Penetapan penolakan dibuat dan dikelola oleh Azure untuk melindungi sumber daya. Anda tidak bisa langsung membuat tugas penolakan Anda sendiri. Namun, Anda dapat menentukan pengaturan tolak saat membuat tumpukan penyebaran, yang membuat penetapan penolakan yang dimiliki oleh sumber daya tumpukan penyebaran. Tumpukan penyebaran saat ini dalam pratinjau. Untuk informasi selengkapnya, lihat Melindungi sumber daya terkelola dari penghapusan.
Membandingkan penetapan peran dan penetapan penolakan
Penetapan penolakan mengikuti pola yang sama dengan penetapan peran, tetapi juga memiliki beberapa perbedaan.
| Kemampuan | Penetapan peran | Penetapan penolakan |
|---|---|---|
| Memberikan akses | ✅ | |
| Menolak akses | ✅ | |
| Dapat langsung dibuat | ✅ | |
| Menerapkan di cakupan | ✅ | ✅ |
| Mengecualikan utama | ✅ | |
| Mencegah pewarisan ke cakupan anak | ✅ | |
| Berlaku untuk penetapan administrator langganan klasik | ✅ |
Properti penetapan penolakan
Penetapan penolakan memiliki properti berikut:
| Properti | Wajib | Tipe | Deskripsi |
|---|---|---|---|
DenyAssignmentName |
Ya | String | Nama tampilan penetapan penolakan. Nama harus unik untuk cakupan tertentu. |
Description |
No | String | Deskripsi penetapan penolakan. |
Permissions.Actions |
Setidaknya satu Tindakan atau satu DataActions | Tali[] | Array dari untai (karakter) yang menentukan operasi data yang aksesnya diblokir oleh penetapan penolakan. |
Permissions.NotActions |
No | Tali[] | Array dari untai (karakter) yang menentukan tindakan bidang kontrol untuk dikecualikan dari penetapan penolakan. |
Permissions.DataActions |
Setidaknya satu Tindakan atau satu DataActions | Tali[] | Array dari untai (karakter) yang menentukan tindakan bidang data yang aksesnya diblokir oleh penetapan blok. |
Permissions.NotDataActions |
No | Tali[] | Array dari untai (karakter) yang menentukan tindakan bidang data yang akan dikecualikan dari penetapan penolakan. |
Scope |
No | String | Untai (karakter) yang menentukan cakupan yang mana penetapan penolakan berlaku. |
DoNotApplyToChildScopes |
No | Boolean | Menentukan apakah penetapan penolakan berlaku untuk cakupan anak. Nilai defaultnya adalah false. |
Principals[i].Id |
Ya | Tali[] | Array ID objek utama Microsoft Entra (pengguna, grup, perwakilan layanan, atau identitas terkelola) tempat penetapan penolakan berlaku. Atur ke GUID kosong 00000000-0000-0000-0000-000000000000 untuk mewakili semua perwakilan. |
Principals[i].Type |
No | Tali[] | Array dari jenis objek yang diwakili oleh Principals[i].Id. Diatur ke SystemDefined untuk mewakili semua perwakilan. |
ExcludePrincipals[i].Id |
No | Tali[] | Array ID objek utama Microsoft Entra (pengguna, grup, perwakilan layanan, atau identitas terkelola) tempat penetapan penolakan tidak berlaku. |
ExcludePrincipals[i].Type |
No | Tali[] | Array dari jenis objek yang diwakili oleh ExcludePrincipals[i].Id. |
IsSystemProtected |
No | Boolean | Menentukan apakah penetapan penolakan ini dibuat oleh Azure dan tidak dapat diedit atau dihapus. Saat ini, semua penetapan penolakan dilindungi sistem. |
Perwakilan All Principals
Untuk mendukung penetapan penolakan, perwakilan yang ditentukan sistem bernama All Principals telah diperkenalkan. Perwakilan ini mewakili semua pengguna, grup, perwakilan layanan, dan identitas terkelola dalam direktori Microsoft Entra. Jika ID perwakilan adalah GUID nol 00000000-0000-0000-0000-000000000000 dan jenis perwakilan adalah SystemDefined, perwakilan mewakili semua perwakilan. Di output Azure PowerShell, All Principals terlihat seperti berikut:
Principals : {
DisplayName: All Principals
ObjectType: SystemDefined
ObjectId: 00000000-0000-0000-0000-000000000000
}
All Principals dapat digabungkan dengan ExcludePrincipals untuk menolak semua perwakilan kecuali beberapa pengguna. All Principals memiliki kendala berikut:
- Hanya dapat digunakan dalam
Principalsdan tidak dapat digunakan dalamExcludePrincipals. Principals[i].Typeharus diatur keSystemDefined.
Mencantumkan penetapan tolakan
Ikuti langkah-langkah ini untuk mencantumkan penugasan penolakan.
Penting
Anda tidak bisa langsung membuat tugas penolakan Anda sendiri. Penugasan penolakan dibuat dan dikelola oleh Azure. Untuk informasi selengkapnya, lihat Melindungi sumber daya terkelola dari penghapusan.
Prasyarat
Untuk mendapatkan informasi tentang penolakan tugas, Anda harus memiliki:
Microsoft.Authorization/denyAssignments/readizin, yang disertakan dalam sebagian besar peran bawaan Azure.
Mencantumkan penetapan penolakan di portal Azure
Ikuti langkah-langkah ini untuk mencantumkan penugasan penolakan pada cakupan langganan atau grup pengelolaan.
Di portal Azure, buka cakupan yang dipilih, seperti grup sumber daya atau langganan.
Pilih Kontrol Akses (IAM).
Pilih tab Tolak penugasan (atau pilih tombol Tampilan pada petak Tampilkan penugasan penolakan).
Jika ada penugasan penolakan pada cakupan ini atau diwarisi ke cakupan ini, tugas tersebut akan dicantumkan.
Untuk menampilkan kolom tambahan, pilih Edit Kolom.
Kolom Deskripsi Nama Nama penugasan penolakan. Jenis perwakilan Pengguna, grup, grup yang ditentukan sistem, atau perwakilan layanan. Ditolak Nama perwakilan keamanan yang termasuk dalam penugasan penolakan. Id Pengidentifikasi unik untuk penugasan penolakan. Perwakilan yang dikecualikan Apakah ada perwakilan keamanan yang dikecualikan dari penugasan penolakan. Tidak berlaku untuk anak-anak Apakah penugasan penolakan diwariskan ke sub-cakupan. Sistem dilindungi Apakah penugasan penolakan dikelola oleh Azure. Saat ini, selalu Ya. Cakupan Grup manajemen, langganan, grup sumber daya, atau sumber daya. Tambahkan tanda centang ke salah satu item yang diaktifkan lalu pilih OK untuk menampilkan kolom yang dipilih.
Mencantumkan detail tentang penugasan penolakan
Ikuti langkah-langkah ini untuk mencantumkan detail tambahan tentang penugasan penolakan.
Buka panel Penugasan penolakan seperti yang dijelaskan di bagian sebelumnya.
Pilih nama penugasan tolak untuk membuka halaman Pengguna .
Halaman Pengguna menyertakan dua bagian berikut.
Pengaturan penolakan Deskripsi Penugasan penolakan berlaku untuk Perwakilan keamanan yang berlaku untuk penugasan penolakan. Penugasan penolakan mengecualikan Perwakilan keamanan yang dikecualikan dari penugasan penolakan. Perwakilan yang Ditentukan Sistem mewakili semua pengguna, grup, perwakilan layanan, dan identitas terkelola dalam direktori Azure Active Directory.
Untuk melihat daftar izin yang ditolak, pilih Izin Ditolak.
Jenis tindakan Deskripsi Tindakan Tindakan sarana kontrol ditolak. NotActions Tindakan sarana kontrol dikecualikan dari tindakan sarana kontrol yang ditolak. DataActions Menolak tindakan data plane. NotDataActions Tindakan data plane dikecualikan dari tindakan data plane yang ditolak. Untuk contoh yang ditampilkan dalam cuplikan layar sebelumnya, berikut ini adalah izin yang efektif:
- Semua tindakan penyimpanan pada bidang data ditolak kecuali untuk tindakan komputasi.
Untuk melihat properti untuk penugasan penolakan, pilih Properti.
Pada halaman Properti , Anda dapat melihat nama, ID, deskripsi, dan cakupan penetapan penolakan. Tombol Tidak berlaku untuk anak-anak menunjukkan apakah penugasan penolakan diwariskan ke sub-cakupan. Tombol Dilindungi sistem menunjukkan apakah penugasan penolakan ini dikelola oleh Azure. Saat ini, jawabannya Ya untuk semua kasus.
