Domande frequenti sulle condizioni di assegnazione di ruolo di Azure
Domande frequenti
È possibile selezionare i nomi dei contenitori di archiviazione o il percorso DEL BLOB nel generatore di condizioni del controllo degli accessi in base al ruolo visivo nel portale di Azure?
È necessario scrivere il nome del contenitore di archiviazione, il percorso BLOB, il nome del tag o i valori nella condizione. Non esiste alcuna esperienza di selezione per i valori degli attributi.
È possibile verificare l'esistenza di un attributo da una condizione?
È possibile usare l'operatore Exists
con qualsiasi attributo ABAC, ma è supportato solo nel generatore di condizioni del controllo degli accessi in base al ruolo visivo per alcuni di essi. È possibile aggiungere l'operatore Exists
a qualsiasi attributo usando altri strumenti, ad esempio PowerShell, l'interfaccia della riga di comando di Azure, l'API REST e l'editor del codice della condizione nel portale di Azure. Per un elenco degli attributi per i quali è supportato nel generatore di condizioni visive, vedere l'operatore di funzione Exists. Per aggiungere l'operatore exists a un attributo durante la compilazione di un'espressione in una condizione, selezionare l'origine e l'attributo supportati, quindi selezionare la casella accanto a Exists sotto di essa. Per altri dettagli, vedere Creare espressioni nel portale .
È possibile raggruppare le espressioni?
Se si aggiungono tre o più espressioni per un'azione di destinazione, è necessario definire il raggruppamento logico di tali espressioni nell'editor di codice, In Azure PowerShell o nell'interfaccia della riga di comando di Azure. Un raggruppamento logico di a AND b OR c
può essere (a AND b) OR c
o a AND (b OR c )
.
Le condizioni sono supportate tramite Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) per le risorse di Azure?
Sì, per ruoli specifici. Per altre informazioni, vedere Assegnare ruoli delle risorse di Azure in Privileged Identity Management.
Le condizioni sono supportate per gli amministratori classici?
No.
È possibile aggiungere condizioni alle assegnazioni di ruolo personalizzate?
Sì, purché il ruolo personalizzato includa azioni che supportano le condizioni.
Le condizioni aumentano la latenza per l'accesso ai BLOB di archiviazione?
No, in base ai test di benchmark, le condizioni non dovrebbero aggiungere alcuna latenza percepibile dall'utente.
Quali nuove proprietà sono state introdotte nello schema di assegnazione dei ruoli per supportare le condizioni?
Ecco le nuove proprietà della condizione:
condition
: istruzione Condition compilata usando una o più azioni dalla definizione e dagli attributi del ruolo.conditionVersion
: numero di versione della condizione. Il valore predefinito è 2.0 ed è l'unica versione supportata pubblicamente.
È disponibile anche una nuova proprietà description per le assegnazioni di ruolo:
description
: descrizione per l'assegnazione di ruolo che può essere usata per descrivere la condizione.
Una condizione viene applicata all'intera assegnazione di ruolo o a azioni specifiche?
Una condizione viene applicata solo alle azioni di destinazione specifiche.
Quali sono i limiti per una condizione?
Una condizione può avere una lunghezza fino a 8 KB.
Quali sono i limiti per una descrizione?
Una descrizione può avere una lunghezza fino a 2 KB.
È possibile creare un'assegnazione di ruolo con e senza una condizione, ma usando la stessa tupla dell'entità di sicurezza, della definizione del ruolo e dell'ambito?
No, se si tenta di creare questa assegnazione di ruolo, viene visualizzato un errore.
Le condizioni nelle assegnazioni di ruolo offrono un effetto di negazione esplicito?
No, le condizioni nelle assegnazioni di ruolo non hanno un effetto di negazione esplicito. Le condizioni nelle assegnazioni di ruolo filtrano l'accesso concesso in un'assegnazione di ruolo, che può comportare l'accesso non consentito. L'effetto di negazione esplicito fa parte delle assegnazioni di rifiuto.