Azure角色分配条件是一项可选的检查条件,它可以添加到角色分配中,用于提供更细致的访问控制。 例如,为了读取某个对象,可以添加要求该对象具有特定标记的条件。 本文介绍如何使用 Azure 门户为角色分配添加、编辑、查看或删除条件。
先决条件
有关添加或编辑角色分配条件的先决条件的信息,请参阅 “条件先决条件”。
步骤 1:确定所需的条件
若要了解可能对你有用的条件,请查看
目前,可以将条件添加到内置或自定义角色分配中,这些角色具有 Blob 存储数据操作 或 队列存储数据操作。 这包括以下内置角色:
步骤 2:选择如何添加条件
可通过两种方式添加条件。 添加新角色分配时可以添加条件,也可以向现有角色分配添加条件。
新角色分配
按照步骤,使用 Azure 门户来分配 Azure 角色。
在“ 条件”(可选) 选项卡上,单击“ 添加条件”。
如果未看到“条件”选项卡(可选),请确保选择了支持条件的角色。
此时会显示“添加角色分配条件”页。
现有角色分配
在 Azure 门户中,在要添加条件的范围打开 Access 控件 (IAM)。 例如,可以打开订阅、资源组或资源。
目前,你无法使用 Azure 门户在管理组范围内添加、查看、编辑或删除条件配置。
单击“ 角色分配 ”选项卡可查看此范围中的所有角色分配。
找到包含您希望添加条件的存储数据操作的角色分配。
在 “条件 ”列中,单击“ 添加”。
如果没有看到“添加”链接,请确保查看的作用域与角色分配一致。
此时会显示“添加角色分配条件”页。
步骤 3:回顾基础知识
打开“添加角色分配条件”页后,可以查看条件的基本信息。 角色 表示条件将被添加到的角色。
对于“编辑器类型”选项,保留默认可视化为选中状态。
添加条件后,可以在视觉对象和代码之间切换。
(可选)如果出现 “说明 ”框,请输入说明。
根据选择添加条件的方式,可能不会看到“说明”框。 说明可帮助你了解和记住条件的目的。
步骤 4:添加动作
在添加操作部分中,单击添加操作。
此时会显示“选择一个操作”窗格。 此窗格是基于角色分配的数据操作的筛选列表,而该角色分配将成为您条件的目标。 有关详细信息,请参阅Azure角色分配条件格式和语法。
如果条件为真,请选择要允许的操作。
如果为单个条件选择多个作,则为条件选择的属性可能更少,因为属性必须跨所选作可用。
单击“选择”。
所选操作显示在操作列表中。
步骤 5:生成表达式
在 “生成表达式 ”部分中,单击“ 添加表达式”。
“表达式”部分展开。
在 “属性源 ”列表中,选择可在何处找到该属性。
- 环境 指示该属性与访问资源的网络环境(例如专用链接或当前日期和时间)相关联。
- 资源 指示属性位于资源上,例如容器名称。
- 请求 指示属性是操作请求的一部分,例如设置 Blob 索引标签。
- Principal指示该属性是Microsoft Entra自定义安全属性主体,例如用户、企业应用程序(服务主体)或托管标识。
在 “属性” 列表中,选择表达式左侧的属性。
有关支持的属性源和单个属性的详细信息,请参阅 “属性”。
根据所选属性,可能会添加框以指定其他属性详细信息或运算符。 例如,某些属性支持 Exists 函数运算符,可用于测试该属性当前是否与资源(如加密范围)相关联。
在 “运算符 ”列表中,选择一个运算符。
有关详细信息,请参阅Azure角色分配条件格式和语法。
在 “值 ”框中,输入表达式右侧的值。
根据需要添加更多表达式。
如果添加三个或更多个表达式,则可能需要用括号对它们进行分组,以便正确计算连接的逻辑运算符。 在要分组的表达式旁边添加复选标记,然后选择“ 组”。 若要删除分组,请选择“ 取消分组”。
步骤 6:查看和添加条件
向上滚动到 编辑器类型 ,然后单击“ 代码”。
条件显示为代码。 可以对此代码编辑器中的条件进行更改。 代码编辑器可用于粘贴示例代码,或者添加更多运算符或逻辑来生成更复杂的条件。 若要返回到视觉对象编辑器,请单击 “视觉对象”。
单击“ 保存 ”将条件添加到角色分配。
查看、编辑或删除条件
在 Azure 门户中,打开访问控制 (IAM),查看、编辑或删除具有特定条件的角色分配。
单击 “角色分配 ”选项卡,找到角色分配。
在 “条件 ”列中,单击“ 查看/编辑”。
如果未看到“视图/编辑”链接,请确保查看与角色分配相同的作用域。
角色分配列表,带有条件的查看/编辑链接。
此时会显示“添加角色分配条件”页。
使用编辑器查看或编辑条件。
完成后,单击“保存”。 若要删除整个条件,请单击“ 删除”条件。 删除条件不会删除角色分配。