使用 Azure 门户添加或编辑 Azure 角色分配条件
Azure 角色分配条件是一项可选检查,你可将其添加到角色分配,以提供更精细的访问控制。 例如,为了读取对象,你可添加要求对象具有特定标记的条件。 本文介绍如何使用 Azure 门户为角色分配添加、编辑、查看或删除条件。
先决条件
有关添加或编辑角色分配条件的先决条件的信息,请参阅有关条件的先决条件。
步骤 1:确定需要的条件
若要了解可能对你有用的条件,请查看 Blob 存储的示例 Azure 角色分配条件中的示例。
目前,可将条件添加到包含 Blob 存储数据操作或队列存储数据操作的内置或自定义角色分配。 其中包括以下内置角色:
第 2 步:选择如何添加条件
可以通过两种方法添加条件。 可以在添加新的角色分配时添加条件,也可以向现有角色分配中添加条件。
新建角色分配
要使用 Azure 门户分配 Azure 角色,请遵循以下步骤。
在“条件(可选)”选项卡上,单击“添加条件” 。
如果看不到“条件(可选)”选项卡,请确保已选择支持条件的角色。
随即显示“添加角色分配条件”页面。
现有的角色分配
在 Azure 门户中,在要添加条件的范围打开“访问控制 (IAM)”。 例如,你可以打开订阅、资源组或资源。
目前,无法使用 Azure 门户在管理组范围内添加、查看、编辑或删除条件。
单击“角色分配”选项卡以查看在此范围内的所有角色分配。
查找某个角色分配,其中包含要添加条件的存储数据操作。
在“条件”列中,单击“添加”。
如果未看到“添加”链接,请确保你查看的是与角色分配相同的范围。
随即显示“添加角色分配条件”页面。
步骤 3:查看基础知识
打开“添加角色分配条件”页后,可以查看条件的基础知识。 “角色”指示要将条件添加到的角色。
对于“编辑器类型”选项,保留选中的默认选项“可视化”。
添加条件后,可以在“可视化”和“代码”之间进行切换。
(可选)如果显示“描述”框,请输入描述。
根据你选择添加条件的方式,可能不会看到“描述”框。 说明可帮助你了解和记住条件的用途。
步骤 4 - 添加操作
在“添加操作”部分,单击“添加操作” 。
随即会显示“选择操作”窗格。 此窗格是基于角色分配(将作为条件的目标)进行了筛选的数据操作列表。 有关详细信息,请参阅 Azure 角色分配条件格式和语法。
选择要在条件为 true 时允许执行的操作。
如果针对单个条件选择多个操作,则能为条件选择的属性可能较少,因为这些属性必须在所选操作中可用。
单击“选择”。
选定的操作将显示在操作列表中。
步骤 5:生成表达式
在“生成表达式”部分,单击“添加表达式” 。
“表达式”部分随即展开。
在“属性源”列表中,选择可以找到属性的位置。
- “环境”指示该属性与访问资源时所处的网络环境(例如专用链接或当前日期和时间)相关联。
- “资源”指示属性在资源上,例如容器名称。
- “请求”指示属性是操作请求的一部分,如设置 blob 索引标记。
- 主体指示属性是 Microsoft Entra 自定义安全属性主体,例如用户、企业应用程序(服务主体)或托管标识。
在“属性”列表中,选择表达式左侧的属性。
有关支持的属性源和单个属性的详细信息,请参阅属性。
根据选择的属性,可以添加框以指定其他属性详细信息或运算符。 例如,某些属性支持 Exists 函数运算符,你可以使用它来测试该属性当前是否与加密范围之类的资源相关联。
在“运算符”列表中,选择一个运算符。
有关详细信息,请参阅 Azure 角色分配条件格式和语法。
在“值”框中,输入表达式右侧的值。
按需添加更多表达式。
如果添加三个或更多个表达式,可能需要用括号将它们分组,以便正确评估连接逻辑运算符。 在要分组的表达式旁边添加复选标记,然后选择“分组”。 若要删除分组,请选择“取消分组”。
步骤 6:查看和添加条件
向上滚动到“编辑器类型”,然后单击“代码” 。
条件显示为代码。 可在此代码编辑器中对条件进行更改。 代码编辑器可用于粘贴示例代码,或用于添加更多运算符或逻辑以构建更复杂的条件。 若要返回到可视化编辑器,请单击“可视化”。
单击“保存”以将条件添加到角色分配。
查看、编辑或删除条件
在 Azure 门户中,针对包含要查看、编辑或删除的条件的角色分配,打开“访问控制 (IAM)”。
单击“角色分配”选项卡并找到角色分配。
在“条件”列中,单击“查看/编辑”。
如果未看到“查看/编辑”链接,请确保你查看的是与角色分配相同的范围。
随即显示“添加角色分配条件”页面。
使用编辑器查看或编辑条件。
完成后,单击“保存”。 要删除整个条件,请单击“删除条件”。 删除条件不会删除角色分配。