Vanliga frågor och svar om villkor för Rolltilldelning i Azure
Vanliga frågor och svar
Kan du välja lagringscontainerns namn eller blobsökväg i det visuella ABAC-villkorsverktyget i Azure-portalen?
Du måste skriva lagringscontainerns namn, blobsökväg, taggnamn eller värden i villkoret. Det finns ingen plockupplevelse för attributvärdena.
Kan du kontrollera om det finns ett attribut från ett villkor?
Du kan använda operatorn Exists med valfritt ABAC-attribut, men det stöds bara i det visuella ABAC-villkorsverktyget för några av dem. Du kan lägga till operatorn i Exists alla attribut med andra verktyg, till exempel PowerShell, Azure CLI, REST API och villkorskodredigeraren i Azure-portalen. En lista över attribut som stöds i det visuella villkorsverktyget finns i funktionsoperatorn Exists (Finns). Om du vill lägga till operatorn exists i ett attribut när du skapar ett uttryck i ett villkor väljer du källan och attributet som stöds och markerar sedan rutan bredvid Finns under den. Mer information finns i Skapa uttryck i portalen .
Kan du gruppera uttryck?
Om du lägger till tre eller flera uttryck för en riktad åtgärd måste du definiera den logiska gruppering av dessa uttryck i kodredigeraren, Azure PowerShell eller Azure CLI. En logisk gruppering av a AND b OR c kan vara antingen (a AND b) OR c eller a AND (b OR c ).
Stöds villkor via Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) för Azure-resurser?
Ja, för specifika roller. Mer information finns i Tilldela Azure-resursroller i Privileged Identity Management.
Stöds villkor för klassiska administratörer?
Nej.
Kan du lägga till villkor i anpassade rolltilldelningar?
Ja, så länge den anpassade rollen innehåller åtgärder som stöder villkor.
Ökar villkoren svarstiden för åtkomst till lagringsblobar?
Nej, baserat på våra benchmark-tester förväntas villkoren inte lägga till någon svarstid som kan uppfattas av användaren.
Vilka nya egenskaper har introducerats i rolltilldelningsschemat för att stödja villkor?
Här är de nya villkorsegenskaperna:
condition: Villkorsinstruktor som skapats med en eller flera åtgärder från rolldefinitioner och attribut.conditionVersion: Ett villkorsversionsnummer. Standardvärdet är 2.0 och är den enda offentligt stödda versionen.
Det finns också en ny beskrivningsegenskap för rolltilldelningar:
description: Beskrivningen för rolltilldelningen som kan användas för att beskriva villkoret.
Tillämpas ett villkor på hela rolltilldelningen eller specifika åtgärder?
Ett villkor tillämpas endast på de specifika målåtgärderna.
Vilka är gränserna för ett villkor?
Ett villkor kan vara upp till 8 KB långt.
Vilka är gränserna för en beskrivning?
En beskrivning kan vara upp till 2 KB lång.
Går det att skapa en rolltilldelning med och utan villkor, men med samma tupppel av säkerhetsobjekt, rolldefinition och omfång?
Nej, om du försöker skapa den här rolltilldelningen visas ett fel.
Erbjuder villkor i rolltilldelningar en explicit neka-effekt?
Nej, villkor i rolltilldelningar har ingen explicit neka-effekt. Villkor i rolltilldelningar filtrerar ned åtkomst som beviljats i en rolltilldelning, vilket kan leda till att åtkomst inte tillåts. Explicit nekandeeffekt är en del av neka tilldelningar.