Questions fréquentes (FAQ) sur les conditions d’attribution de rôle Azure
Forum aux questions
Pouvez-vous choisir les noms de conteneurs de stockage ou le chemin d’accès d’objet blob dans le générateur de conditions ABAC visuel dans le portail Azure ?
Vous devez écrire le nom du conteneur de stockage, le chemin d’accès de l’objet blob, le nom de la balise ou les valeurs dans la condition. Il n’existe aucune possibilité de sélection pour les valeurs d’attribut.
Pouvez-vous vérifier l’existence d’un attribut à partir d’une condition ?
Vous pouvez utiliser l’opérateur Exists
avec n’importe quel attribut ABAC, mais il n’est pris en charge que dans le générateur de conditions ABAC visuel pour quelques-uns d’entre eux. Vous pouvez ajouter l’opérateur Exists
à n’importe quel attribut à l’aide d’autres outils, tels que PowerShell, Azure CLI, l’API REST et l’éditeur de code de condition dans le portail Azure. Pour obtenir la liste des attributs pour lesquels il est pris en charge dans le générateur de conditions visuelles, consultez l’opérateur de fonction Exists. Pour ajouter l’opérateur Exists à un attribut lors de la génération d’une expression dans une condition, sélectionnez la source et l’attribut pris en charge, puis sélectionnez la zone en regard d’Exists sous celle-ci. Pour plus d’informations, consultez Générer des expressions dans le portail.
Est-il possible de regrouper des expressions ?
Si vous ajoutez au moins trois expressions pour une action ciblée, vous devez définir le regroupement logique de ces expressions dans l’éditeur de code, Azure PowerShell ou Azure CLI. Le regroupement logique de a AND b OR c
peut avoir la valeur (a AND b) OR c
ou a AND (b OR c )
.
Les conditions sont-elles prises en charge via Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) pour les ressources Azure ?
Oui, pour des rôles spécifiques. Pour plus d’informations, consultez Attribuer des rôles de ressources Azure dans Privileged Identity Management.
Les conditions sont-elles prises en charge pour les administrateurs classiques ?
Non.
Est-il possible d’ajouter des conditions aux attributions de rôles personnalisées ?
Oui, tant que le rôle personnalisé comprend des actions qui prennent en charge les conditions.
Les conditions augmentent-elles la latence pour l’accès aux objets blob de stockage ?
Non, d’après nos tests d’évaluation, les conditions ne sont pas censées ajouter de latence perceptible par l’utilisateur.
Quelles sont les nouvelles propriétés qi ont été ajoutées au schéma d’attribution de rôle pour prendre en charge les conditions ?
Les nouvelles propriétés de la condition sont les suivantes :
condition
: instruction de condition créée à l’aide d’une ou de plusieurs actions à partir de la définition du rôle et des attributs.conditionVersion
: un numéro de version de la condition. La valeur par défaut est 2.0 et il s’agit de la seule version prise en charge publiquement.
Il existe également une nouvelle propriété de description pour les attributions de rôles :
description
: description de l’attribution de rôle qui peut être utilisée pour décrire la condition.
Une condition est-elle appliquée à l’ensemble de l’attribution de rôle ou à certaines actions ?
Les conditions s’appliquent uniquement aux actions ciblées.
Quelles sont les limites d’une condition ?
La longueur de la condition peut aller jusqu’à 8 Ko.
Quelles sont les limites d’une description ?
La longueur de la description peut aller jusqu’à 2 Ko.
Est-il possible de créer une attribution de rôle avec et sans condition, mais en utilisant le même tuple de sécurité principal, de définition de rôle et d’étendue ?
Non, si vous tentez de créer cette attribution de rôle, une erreur s’affiche.
Les conditions dans les attributions de rôles offrent-elles un effet de refus explicite ?
Non, les conditions dans les attributions de rôles n’ont pas d’effet de refus explicite. Les conditions dans les attributions de rôles filtrent l’accès accordé dans une attribution de rôle, ce qui peut entraîner un accès non autorisé. L’effet de refus explicite fait partie des affectation de refus.