Perguntas frequentes sobre as condições de atribuição de função do Azure
Perguntas mais frequentes
Você pode escolher os nomes de contêiner de armazenamento ou o caminho de blob no construtor de condições ABAC visual no portal do Azure?
Você deve escrever o nome do contêiner de armazenamento, o caminho do blob, o nome da marca ou os valores na condição. Não há experiência de seleção para os valores de atributo.
Você pode verificar a existência de um atributo de uma condição?
Você pode usar o Exists operador com qualquer atributo ABAC, mas ele só é suportado no construtor de condições ABAC visual para alguns deles. Você pode adicionar o operador a qualquer atributo usando outras ferramentas, como o PowerShell, a CLI do Azure, a API REST e o Exists editor de código de condição no portal do Azure. Para obter uma lista de atributos para os quais ele é suportado no construtor de condições visuais, consulte o operador de função Exists. Para adicionar o operador exists a um atributo ao criar uma expressão em uma condição, selecione a fonte e o atributo suportados e, em seguida, selecione a caixa ao lado de Exists abaixo dele. Consulte Criar expressões no portal para obter mais detalhes.
É possível agrupar expressões?
Se você adicionar três ou mais expressões para uma ação direcionada, deverá definir o agrupamento lógico dessas expressões no editor de código, no Azure PowerShell ou na CLI do Azure. Um agrupamento lógico de a AND b OR c pode ser um ou (a AND b) OR ca AND (b OR c ).
As condições são suportadas através do Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) para recursos do Azure?
Sim, para funções específicas. Para obter mais informações, consulte Atribuir funções de recurso do Azure no Privileged Identity Management.
As condições são suportadas para administradores clássicos?
Não
É possível adicionar condições a atribuições de função personalizadas?
Sim, desde que a função personalizada inclua ações que ofereçam suporte a condições.
As condições aumentam a latência de acesso aos blobs de armazenamento?
Não, com base em nossos testes de benchmark, não se espera que as condições adicionem qualquer latência percetível pelo usuário.
Que novas propriedades foram introduzidas no esquema de atribuição de função para suportar condições?
Aqui estão as novas propriedades da condição:
condition: Declaração de condição criada usando uma ou mais ações da definição de função e atributos.conditionVersion: Um número de versão da condição. O padrão é 2.0 e é a única versão suportada publicamente.
Há também uma nova propriedade description para atribuições de função:
description: A descrição da atribuição de função que pode ser usada para descrever a condição.
Uma condição é aplicada a toda a atribuição de função ou ações específicas?
Só é aplicada uma condição às ações específicas orientadas.
Quais são os limites para uma condição?
Uma condição pode ter até 8 KB de comprimento.
Quais são os limites para uma descrição?
Uma descrição pode ter até 2 KB de comprimento.
É possível criar uma atribuição de função com e sem uma condição, mas usando a mesma tupla de entidade de segurança, definição de função e escopo?
Não, se você tentar criar essa atribuição de função, um erro será exibido.
As condições nas atribuições de funções oferecem um efeito de negação explícito?
Não, as condições nas atribuições de função não têm um efeito de negação explícito. As condições nas atribuições de função filtram o acesso concedido em uma atribuição de função, o que pode resultar em acesso não permitido. O efeito de negação explícito faz parte das atribuições de negação.