Вопросы и ответы об условиях назначения ролей Azure
Часто задаваемые вопросы
Можно ли выбрать имена контейнеров хранилища или путь к BLOB-объектам в визуальном построителе условий ABAC в портал Azure?
Необходимо записать имя контейнера хранилища, путь к BLOB-объекту, имя тега или значения в условии. Для значений атрибутов нет процедуры выбора.
Можно ли проверка для существования атрибута из условия?
Оператор можно использовать Exists с любым атрибутом ABAC, но он поддерживается только в визуальном построителе условий ABAC для нескольких из них. Оператор можно добавить в Exists любой атрибут с помощью других средств, таких как PowerShell, Azure CLI, REST API и редактор кода условий в портал Azure. Список атрибутов, для которых он поддерживается в построителе визуальных условий, см. в операторе функции "Существует". Чтобы добавить оператор существует в атрибут при создании выражения в условии, выберите поддерживаемый источник и атрибут, а затем выберите поле рядом с ним. Дополнительные сведения см . в выражениях сборки на портале .
Можно ли группировать выражения?
При добавлении трех или более выражений для целевого действия необходимо определить логическую группировку этих выражений в редакторе кода, Azure PowerShell или Azure CLI. Логическая группировка a AND b OR c может быть либо (a AND b) OR c, либо a AND (b OR c ).
Поддерживаются ли условия с помощью microsoft Entra управление привилегированными пользователями (Microsoft Entra PIM) для ресурсов Azure?
Да, для определенных ролей. Дополнительные сведения см. в статье Назначение ролей ресурсов Azure в управлении привилегированными пользователями.
Поддерживаются ли условия для классических администраторов?
Нет.
Можно ли добавлять условия к назначениям настраиваемых ролей?
Да, если настраиваемая роль включает действия, которые поддерживают условия.
Увеличивают ли условия задержку доступа к BLOB-объектам хранилища?
Нет. Наши эталонные тесты показывают, что условия не должны увеличивать задержку, воспринимаемую пользователем.
Какие новые свойства появились в схеме назначения ролей для поддержания условий?
Ниже приведены новые свойства условия:
condition: оператор Condition, созданный с использованием одного или нескольких действий из определения роли и атрибутов.conditionVersion: номер версии условия. Значение по умолчанию — 2.0, это единственная общедоступная поддерживаемая версия.
Также имеется новое свойство description для назначений ролей:
description: описание назначения ролей, которое можно использовать для описания условия.
Условие применяется ко всему назначению ролей или определенным действиям?
Условие применяется только к определенным целевым действиям.
Каковы ограничения для условия?
Условие может составлять до 8 КБ длину.
Каковы ограничения для описания?
Описание может иметь размер до 2 КБ.
Можно ли создать назначение ролей с условием и без него, но используя тот же кортеж субъекта безопасности, определения роли и области?
Нет. При попытке создать такое назначение ролей отобразится ошибка.
Создают ли условия в назначениях ролей эффект явного запрета?
Нет. Условия в назначениях ролей не создают эффект явного запрета. Условия в назначениях ролей отфильтровывают доступ, предоставленный в назначении ролей, что может привести к неразрешенному доступу. Эффект явного запрета является частью назначений запрета.