Często zadawane pytania dotyczące warunków przypisywania ról platformy Azure
Często zadawane pytania
Czy możesz wybrać nazwy kontenerów magazynu lub ścieżkę obiektu blob w konstruktorze warunków ABAC wizualizacji w witrynie Azure Portal?
Musisz napisać nazwę kontenera magazynu, ścieżkę obiektu blob, nazwę tagu lub wartości w warunku. Brak środowiska wybierania wartości atrybutów.
Czy można sprawdzić istnienie atrybutu z warunku?
Można użyć Exists operatora z dowolnym atrybutem ABAC, ale jest obsługiwany tylko w konstruktorze warunku ABAC wizualizacji dla kilku z nich. Operator można dodać do dowolnego atrybutu Exists przy użyciu innych narzędzi, takich jak program PowerShell, interfejs wiersza polecenia platformy Azure, interfejs API REST i edytor kodu warunku w witrynie Azure Portal. Aby uzyskać listę atrybutów, dla których jest ona obsługiwana w konstruktorze warunków wizualnych, zobacz operator funkcji Exists. Aby dodać operator exists do atrybutu podczas kompilowania wyrażenia w warunku, wybierz obsługiwane źródło i atrybut, a następnie wybierz pole obok pozycji Istnieje pod nim. Aby uzyskać więcej informacji, zobacz Kompilowanie wyrażeń w portalu .
Czy można grupować wyrażenia?
Jeśli dodasz trzy lub więcej wyrażeń dla akcji docelowej, musisz zdefiniować logiczne grupowanie tych wyrażeń w edytorze kodu, programie Azure PowerShell lub interfejsie wiersza polecenia platformy Azure. Grupowanie a AND b OR c logiczne może mieć (a AND b) OR c wartość lub a AND (b OR c ).
Czy warunki są obsługiwane za pośrednictwem usługi Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) dla zasobów platformy Azure?
Tak, dla określonych ról. Aby uzyskać więcej informacji, zobacz Przypisywanie ról zasobów platformy Azure w usłudze Privileged Identity Management.
Czy warunki są obsługiwane dla administratorów klasycznych?
Nie
Czy można dodać warunki do niestandardowych przypisań ról?
Tak, o ile rola niestandardowa obejmuje akcje, które obsługują warunki.
Czy warunki zwiększają opóźnienie dostępu do obiektów blob magazynu?
Nie, w oparciu o nasze testy porównawcze, warunki nie powinny dodawać żadnych możliwych opóźnień użytkownika.
Jakie nowe właściwości zostały wprowadzone w schemacie przypisania roli w celu obsługi warunków?
Oto nowe właściwości warunku:
condition: instrukcja warunku utworzona przy użyciu co najmniej jednej akcji z definicji i atrybutów roli.conditionVersion: numer wersji warunku. Wartość domyślna to 2.0 i jest jedyną publicznie obsługiwaną wersją.
Istnieje również nowa właściwość opisu przypisań ról:
description: opis przypisania roli, którego można użyć do opisania warunku.
Czy warunek jest stosowany do całego przypisania roli lub określonych akcji?
Warunek jest stosowany tylko do określonych akcji docelowych.
Jakie są limity warunku?
Warunek może mieć długość do 8 KB.
Jakie są limity opisu?
Opis może trwać do 2 KB.
Czy istnieje możliwość utworzenia przypisania roli z warunkiem i bez niego, ale przy użyciu tej samej krotki podmiotu zabezpieczeń, definicji roli i zakresu?
Nie, jeśli spróbujesz utworzyć to przypisanie roli, zostanie wyświetlony błąd.
Czy warunki w przypisaniach ról oferują wyraźny efekt odmowy?
Nie, warunki w przypisaniach ról nie mają jawnego efektu odmowy. Warunki w przypisaniach ról filtrują dostęp przyznany w przypisaniu roli, co może spowodować, że dostęp jest niedozwolony. Jawny efekt odmowy jest częścią przypisań odmowy.