使用 Azure 门户添加或编辑 Azure 角色分配条件

Azure 角色分配条件是一项可选检查,你可将其添加到角色分配,以提供更精细的访问控制。 例如,为了读取对象,你可添加要求对象具有特定标记的条件。 本文介绍如何使用 Azure 门户为角色分配添加、编辑、查看或删除条件。

先决条件

有关添加或编辑角色分配条件的先决条件的信息,请参阅有关条件的先决条件

步骤 1:确定需要的条件

若要了解可能对你有用的条件,请查看 Blob 存储的示例 Azure 角色分配条件中的示例。

目前,可将条件添加到包含 Blob 存储数据操作队列存储数据操作的内置或自定义角色分配。 其中包括以下内置角色:

第 2 步:选择如何添加条件

可以通过两种方法添加条件。 可以在添加新的角色分配时添加条件,也可以向现有角色分配中添加条件。

新建角色分配

  1. 使用 Azure 门户分配 Azure 角色,请遵循以下步骤。

  2. 在“条件(可选)”选项卡上,单击“添加条件” 。

    如果看不到“条件(可选)”选项卡,请确保已选择支持条件的角色。

    包含“添加条件”选项卡的“添加角色分配”页的屏幕截图。

    随即显示“添加角色分配条件”页面。

现有的角色分配

  1. 在 Azure 门户中,在要添加条件的范围打开“访问控制 (IAM)”。 例如,你可以打开订阅、资源组或资源。

    目前,无法使用 Azure 门户在管理组范围内添加、查看、编辑或删除条件。

  2. 单击“角色分配”选项卡以查看在此范围内的所有角色分配。

  3. 查找某个角色分配,其中包含要添加条件的存储数据操作。

  4. 在“条件”列中,单击“添加”。

    如果未看到“添加”链接,请确保你查看的是与角色分配相同的范围。

    具有“条件”列的角色分配列表。

    随即显示“添加角色分配条件”页面。

步骤 3:查看基础知识

打开“添加角色分配条件”页后,可以查看条件的基础知识。 “角色”指示要将条件添加到的角色。

  1. 对于“编辑器类型”选项,保留选中的默认选项“可视化”。

    添加条件后,可以在“可视化”和“代码”之间进行切换。

  2. (可选)如果显示“描述”框,请输入描述。

    根据你选择添加条件的方式,可能不会看到“描述”框。 说明可帮助你了解和记住条件的用途。

    “添加角色分配条件”页,其中显示了编辑器类型和描述。

步骤 4 - 添加操作

  1. 在“添加操作”部分,单击“添加操作” 。

    随即会显示“选择操作”窗格。 此窗格是基于角色分配(将作为条件的目标)进行了筛选的数据操作列表。 有关详细信息,请参阅 Azure 角色分配条件格式和语法

    针对选择了操作的条件,选择一个操作窗格。

  2. 选择要在条件为 true 时允许执行的操作。

    如果针对单个条件选择多个操作,则能为条件选择的属性可能较少,因为这些属性必须在所选操作中可用。

  3. 单击“选择”。

    选定的操作将显示在操作列表中。

步骤 5:生成表达式

  1. 在“生成表达式”部分,单击“添加表达式” 。

    “表达式”部分随即展开。

  2. 在“属性源”列表中,选择可以找到属性的位置。

    • “环境”指示该属性与访问资源时所处的网络环境(例如专用链接或当前日期和时间)相关联。
    • “资源”指示属性在资源上,例如容器名称。
    • “请求”指示属性是操作请求的一部分,如设置 blob 索引标记。
    • 主体指示属性是 Microsoft Entra 自定义安全属性主体,例如用户、企业应用程序(服务主体)或托管标识。
  3. 在“属性”列表中,选择表达式左侧的属性。

    有关支持的属性源和单个属性的详细信息,请参阅属性

    根据选择的属性,可以添加框以指定其他属性详细信息或运算符。 例如,某些属性支持 Exists 函数运算符,你可以使用它来测试该属性当前是否与加密范围之类的资源相关联。

  4. 在“运算符”列表中,选择一个运算符。

    有关详细信息,请参阅 Azure 角色分配条件格式和语法

  5. 在“值”框中,输入表达式右侧的值。

    包含 Blob 索引标记的值的生成表达式部分。

  6. 按需添加更多表达式。

    如果添加三个或更多个表达式,可能需要用括号将它们分组,以便正确评估连接逻辑运算符。 在要分组的表达式旁边添加复选标记,然后选择“分组”。 若要删除分组,请选择“取消分组”。

    使用要分组的多个表达式生成表达式部分。

步骤 6:查看和添加条件

  1. 向上滚动到“编辑器类型”,然后单击“代码” 。

    条件显示为代码。 可在此代码编辑器中对条件进行更改。 代码编辑器可用于粘贴示例代码,或用于添加更多运算符或逻辑以构建更复杂的条件。 若要返回到可视化编辑器,请单击“可视化”。

    在代码编辑器中显示的条件,其中包含所选操作和添加的表达式。

  2. 单击“保存”以将条件添加到角色分配。

查看、编辑或删除条件

  1. 在 Azure 门户中,针对包含要查看、编辑或删除的条件的角色分配,打开“访问控制 (IAM)”。

  2. 单击“角色分配”选项卡并找到角色分配。

  3. 在“条件”列中,单击“查看/编辑”。

    如果未看到“查看/编辑”链接,请确保你查看的是与角色分配相同的范围。

    角色分配列表,包含条件的“查看/编辑”链接。

    随即显示“添加角色分配条件”页面。

  4. 使用编辑器查看或编辑条件。

    单击“视图/编辑”链接后编辑器中显示的条件。

  5. 完成后,单击“保存”。 要删除整个条件,请单击“删除条件”。 删除条件不会删除角色分配。

后续步骤