Azure 角色分配条件的先决条件

若要添加或编辑 Azure 角色分配条件，必须满足以下先决条件。

存储帐户

对于那些使用 blob 索引标记的条件，你必须使用与 blob 索引功能兼容的存储帐户。 例如，目前仅支持已禁用分层命名空间 (HNS) 的常规用途 v2 (GPv2) 存储帐户。 有关详细信息，请参阅使用 blob 索引标记管理和查找 Azure Blob 数据

Azure PowerShell

使用 Azure PowerShell 添加或更新条件时，必须使用以下版本：

• Az 模块 5.5.0 或更高版本
• Az.Resources 模块 3.2.1 或更高版本
  • 随 Az 模块 v5.5.0 及更高版本提供，但可以通过 PowerShell 库手动安装
• Az.Storage 预览版模块 2.5.2-preview 或更高版本

Azure CLI

使用 Azure CLI 添加或更新条件时，必须使用以下版本：

• Azure CLI 2.18 或更高版本

REST API

使用 REST API 添加或更新条件时，必须使用以下版本：

• 2020-03-01-preview 或更高版本
• 2020-04-01-preview 或更高版本，如果要对角色分配使用 description 属性
• 2022-04-01 是第一个稳定版本

有关详细信息，请参阅 Azure RBAC REST API 的 API 版本。

权限

与角色分配一样，若要添加或更新条件，必须使用拥有 Microsoft.Authorization/roleAssignments/write 和 Microsoft.Authorization/roleAssignments/delete 权限的用户（例如基于角色的访问控制管理员）身份登录到 Azure。

主体属性

若要使用主体属性（Microsoft Entra ID 中的自定义安全属性），必须满足以下要求：

• 在属性集或租户范围内的属性分配管理员角色
• Microsoft Entra ID 中定义的自定义安全属性

有关自定义安全属性的详细信息，请参阅：

• 主体不会出现在属性源中
• 在 Microsoft Entra ID 中添加或停用自定义安全属性

环境属性

若要使用专用终结点属性，必须在订阅中至少配置一个专用终结点。

若要使用子网属性，你必须至少拥有一个使用订阅中配置的服务终结点的虚拟网络子网。

后续步骤

• Blob 存储的 Azure 角色分配条件示例
• 教程：使用 Azure 门户添加角色分配条件来限制对 Blob 的访问