Azure ロール割り当て条件のよくあるご質問
よく寄せられる質問
Azure portal のビジュアル ABAC 条件ビルダーでストレージ コンテナー名または BLOB パスを選択できますか?
条件には、ストレージ コンテナー名、BLOB パス、タグ名、または値を書き込む必要があります。 属性値にはピッキング エクスペリエンスがありません。
属性の存在を条件から確認できますか?
Exists 演算子は、任意の ABAC 属性で使うことができますが、一部はビジュアル ABAC 条件ビルダーでのみサポートされます。 Exists 演算子は、PowerShell、Azure CLI、REST API、Azure portal の条件コード エディターなど、他のツールを使って任意の属性に追加できます。 ビジュアル条件ビルダーでサポートされている属性の一覧については、Exists 関数演算子に関するセクションを参照してください。 条件内に式を作成するときに exists 演算子を属性に追加するには、サポートされているソースと属性を選び、その下にある Exists の横のボックスを選択します。 詳細については、ポータルでの式の作成に関するセクションを参照してください。
式をグループ化できますか。
対象となるアクションに対して 3 つ以上の式を追加する場合は、コード エディター、Azure PowerShell、または Azure CLI でこれらの式の論理的なグループを定義する必要があります。 a AND b OR c の論理的なグループには、(a AND b) OR c または a AND (b OR c ) を指定できます。
Azure リソースの Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) では、条件がサポートされていますか?
特定のロールではサポートされています。 詳細については、「Privileged Identity Management で Azure リソース ロールを割り当てる」を参照してください。
従来の管理者には条件がサポートされていますか。
不正解です。
カスタム ロールの割り当てに条件を追加できますか。
はい。カスタム ロールに条件をサポートするアクションが含まれている場合に限ります。
条件により、ストレージ BLOB へのアクセスの待機時間が増加しますか。
いいえ。ベンチマーク テストに基づくと、条件によってユーザーが認識できる待機時間が追加されることはありません。
条件をサポートするために、ロールの割り当てスキーマにどのような新しいプロパティが導入されましたか。
新しい条件のプロパティを次に示します。
condition: ロール定義と属性から 1 つ以上のアクションを使用して構築された条件文。conditionVersion: 条件バージョン番号。 既定値は 2.0 で、パブリックにサポートされている唯一のバージョンです。
ロールの割り当ての新しい説明プロパティも用意されています。
description: 条件の説明に使用できるロールの割り当ての説明。
条件は、ロールの割り当て全体と特定のアクションのどちらに適用されますか。
条件は、特定の対象となるアクションにのみ適用されます。
条件の上限は何ですか。
条件の長さは最大 8 KB です。
説明の上限は何ですか。
説明の長さは最大 2 KB です。
条件の有無にかかわらず、セキュリティ プリンシパル、ロール定義、スコープの同じタプルを使用してロール割り当てを作成することは可能ですか。
いいえ。このロールの割り当てを作成しようとすると、エラーが表示されます。
ロールの割り当ての条件は、明示的な Deny 効果を提供していますか。
いいえ。ロールの割り当ての条件は、明示的な Deny 効果を提供しません。 ロールの割り当ての条件により、ロールの割り当てで付与されたアクセスがフィルター処理され、アクセスが許可されなくなる可能性があります。 明示的な Deny 効果は、拒否の割り当ての一部です。