Häufig gestellte Fragen zu Azure-Rollenzuweisungsbedingungen
Häufig gestellte Fragen
Können Sie die Namen des Speichercontainers oder den BLOB-Pfad im visuellen ABAC-Bedingungs-Generator im Azure-Portal auswählen?
Sie müssen den Namen des Speichercontainers, den Blobpfad, den Tagnamen oder die Werte in die Bedingung schreiben. Es gibt keine Auswahlmöglichkeit für die Attributwerte.
Können Sie überprüfen, ob ein Attribut aus einer Bedingung vorhanden ist?
Sie können den Exists Operator mit einem beliebigen ABAC-Attribut verwenden, wird jedoch nur im visuellen ABAC-Bedingungs-Generator für einige davon unterstützt. Sie können den Exists Operator zu jedem beliebigen Attribut hinzufügen, indem Sie andere Tools wie PowerShell, die Azure CLI, die REST-API und den Bedingungscode-Editor im Azure-Portal verwenden. Eine Liste der Attribute, für die sie im Visuellen Bedingungs-Generator unterstützt wird, finden Sie im Exists-Funktionsoperator. Wenn Sie einen vorhandenen Operator zu einem Attribut hinzufügen möchten, wenn Sie einen Ausdruck in einer Bedingung erstellen, wählen Sie die unterstützte Quelle und das unterstützte Attribut aus, und wählen Sie dann das Feld neben "Vorhanden" aus. Weitere Details finden Sie unter Erstellen von Ausdrücken im Portal .
Kann Ausdrücke gruppieren?
Wenn Sie drei oder mehr Ausdrücke für eine zielorientierte Aktion hinzufügen, müssen Sie die logische Gruppierung dieser Ausdrücke im Code-Editor, im Azure PowerShell oder im Azure CLI definieren. Eine logische Gruppierung von a AND b OR c kann entweder (a AND b) OR c oder a AND (b OR c ) sein.
Werden Bedingungen über Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) für Azure-Ressourcen unterstützt?
Ja, für bestimmte Rollen. Weitere Informationen finden Sie unter Zuweisen von Azure-Ressourcenrollen in Privileged Identity Management.
Werden Bedingungen für klassische Administratoren unterstützt?
Nein.
Kann man benutzerdefinierten Rollenzuweisungen Bedingungen hinzufügen?
Ja, solange die benutzerdefinierte Rolle Aktionen enthält, die Bedingungen unterstützen.
Erhöhen die Bedingungen die Latenz für den Zugriff auf Speicherblobs?
Nein. Basierend auf unseren Benchmarktests ist nicht zu erwarten, dass Bedingungen eine spürbare Latenz hinzufügen.
Welche neuen Eigenschaften wurden im Rollenzuweisungsschema eingeführt, um Bedingungen zu unterstützen?
Dies sind die neuen Bedingungseigenschaften:
condition: Bedingungsaufstellung, die mit einer oder mehreren Aktionen aus Rollendefinition und Attributen erstellt wurde.conditionVersion: Eine Versionsnummer der Bedingung. Der Standardwert ist 2.0 und ist die einzige öffentlich unterstützte Version.
Es gibt auch eine neue Beschreibungseigenschaft für Rollenzuweisungen:
description: Die Beschreibung der Rollenzuweisung, die zum Beschreiben der Bedingung verwendet werden kann.
Wird eine Bedingung auf die gesamte Rollenzuweisung oder bestimmte Aktionen angewendet?
Eine Bedingung wird nur auf die spezifischen Zielaktionen angewendet.
Welche Grenzwerte gelten für eine Bedingung?
Eine Bedingung kann bis zu 8 KB lang sein.
Welche Grenzwerte gelten für eine Beschreibung?
Eine Beschreibung kann bis zu 2 KB lang sein.
Ist es möglich, eine Rollenzuweisung mit und ohne Bedingung zu erstellen, aber das gleiche Tupel aus Sicherheitsprinzipal, Rollendefinition und Bereich zu verwenden?
Nein, wenn Sie versuchen, diese Rollenzuweisung zu erstellen, wird ein Fehler angezeigt.
Bieten Bedingungen in Rollenzuweisungen eine explizite Verweigerungswirkung?
Nein, Bedingungen in Rollenzuweisungen bieten keine explizite Verweigerungswirkung. Bedingungen in Rollenzuweisungen filtern den Zugriff, der in einer Rollenzuweisung gewährt wird, was dazu führen kann, dass der Zugriff nicht zulässig ist. Die explizite Verweigerungswirkung ist Teil von Verweigerungszuweisungen.