Dodawanie lub edytowanie warunków przypisywania ról platformy Azure przy użyciu witryny Azure Portal
Warunek przypisania roli platformy Azure jest opcjonalnym sprawdzeniem, które można dodać do przypisania roli, aby zapewnić bardziej szczegółową kontrolę dostępu. Można na przykład dodać warunek, który wymaga, aby obiekt miał określony tag do odczytania obiektu. W tym artykule opisano sposób dodawania, edytowania, wyświetlania lub usuwania warunków przypisań ról przy użyciu witryny Azure Portal.
Wymagania wstępne
Aby uzyskać informacje o wymaganiach wstępnych dotyczących dodawania lub edytowania warunków przypisywania ról, zobacz Warunki wstępne.
Krok 1. Określanie wymaganego warunku
Aby uzyskać kilka pomysłów na warunki, które mogą być przydatne, zapoznaj się z przykładami w temacie Przykładowe warunki przypisywania ról platformy Azure dla usługi Blob Storage.
Obecnie warunki można dodać do wbudowanych lub niestandardowych przypisań ról, które mają akcje danych magazynu obiektów blob lub akcje danych magazynu kolejek. Należą do nich następujące wbudowane role:
- Współautor danych obiektu blob usługi Storage
- Właściciel danych obiektu blob usługi Storage
- Czytelnik danych obiektu blob usługi Storage
- Współautor danych kolejki usługi Storage
- Procesor komunikatów kolejki usługi Storage
- Nadawca komunikatu o danych kolejki usługi Storage
- Czytelnik danych kolejki usługi Storage
Krok 2. Wybieranie sposobu dodawania warunku
Istnieją dwa sposoby dodawania warunku. Warunek można dodać podczas dodawania nowego przypisania roli lub dodać warunek do istniejącego przypisania roli.
Przypisanie nowej roli
Wykonaj kroki przypisywania ról platformy Azure przy użyciu witryny Azure Portal.
Na karcie Warunki (opcjonalnie) kliknij pozycję Dodaj warunek.
Jeśli nie widzisz karty Warunki (opcjonalnie), upewnij się, że wybrano rolę, która obsługuje warunki.
Zostanie wyświetlona strona Dodawanie warunku przypisania roli.
Istniejące przypisanie roli
W witrynie Azure Portal otwórz pozycję Kontrola dostępu (IAM) w zakresie, w którym chcesz dodać warunek. Możesz na przykład otworzyć subskrypcję, grupę zasobów lub zasób.
Obecnie nie można używać witryny Azure Portal do dodawania, wyświetlania, edytowania lub usuwania warunku dodanego w zakresie grupy zarządzania.
Kliknij kartę Przypisania ról, aby wyświetlić wszystkie przypisania ról w tym zakresie.
Znajdź przypisanie roli zawierające akcje danych magazynu, do których chcesz dodać warunek.
W kolumnie Warunek kliknij przycisk Dodaj.
Jeśli nie widzisz linku Dodaj, upewnij się, że patrzysz na ten sam zakres co przypisanie roli.
Zostanie wyświetlona strona Dodawanie warunku przypisania roli.
Krok 3. Przegląd podstaw
Po otwarciu strony Dodawanie warunku przypisania roli możesz przejrzeć podstawowe informacje o warunku. Rola wskazuje rolę, do którego zostanie dodany warunek.
Dla opcji Typ edytora pozostaw wybraną domyślną wizualizację.
Po dodaniu warunku można przełączać się między elementami Visual i Code.
(Opcjonalnie) Jeśli zostanie wyświetlone pole Opis , wprowadź opis.
W zależności od wybranego sposobu dodawania warunku może nie być widoczne pole Opis. Opis może pomóc zrozumieć i zapamiętać cel warunku.
Krok 4. Dodawanie akcji
W sekcji Dodawanie akcji kliknij pozycję Dodaj akcję.
Zostanie wyświetlone okienko Wybierz akcję. To okienko jest filtrowaną listą akcji danych na podstawie przypisania roli, które będą elementem docelowym warunku. Aby uzyskać więcej informacji, zobacz Format i składnia warunku przypisania roli platformy Azure.
Wybierz akcje, które chcesz zezwolić, jeśli warunek ma wartość true.
Jeśli wybierzesz wiele akcji dla jednego warunku, może istnieć mniej atrybutów do wyboru dla warunku, ponieważ atrybuty muszą być dostępne w wybranych akcjach.
Kliknij opcję Wybierz.
Wybrane akcje są wyświetlane na liście akcji.
Krok 5. Kompilowanie wyrażeń
W sekcji Wyrażenie kompilacji kliknij pozycję Dodaj wyrażenie.
Sekcja Wyrażenia zostanie rozwinięta.
Na liście Źródło atrybutu wybierz miejsce, w którym można znaleźć atrybut.
- Środowisko wskazuje, że atrybut jest skojarzony ze środowiskiem sieciowym, za pośrednictwem którego uzyskuje się dostęp do zasobu, takiego jak link prywatny, lub bieżąca data i godzina.
- Zasób wskazuje, że atrybut znajduje się w zasobie, takim jak nazwa kontenera.
- Żądanie wskazuje, że atrybut jest częścią żądania akcji, takiego jak ustawienie tagu indeksu obiektów blob.
- Podmiot zabezpieczeń wskazuje, że atrybut jest jednostką atrybutu zabezpieczeń niestandardowego firmy Microsoft, taką jak użytkownik, aplikacja przedsiębiorstwa (jednostka usługi) lub tożsamość zarządzana.
Na liście Atrybut wybierz atrybut po lewej stronie wyrażenia.
Aby uzyskać więcej informacji na temat obsługiwanych źródeł atrybutów i poszczególnych atrybutów, zobacz Atrybuty.
W zależności od wybranego atrybutu można dodać pola w celu określenia dodatkowych szczegółów lub operatorów atrybutów. Na przykład niektóre atrybuty obsługują operator funkcji Exists, którego można użyć do sprawdzenia, czy atrybut jest obecnie skojarzony z zasobem, takim jak zakres szyfrowania.
Na liście Operator wybierz operator.
Aby uzyskać więcej informacji, zobacz Format i składnia warunku przypisania roli platformy Azure.
W polu Wartość wprowadź wartość po prawej stronie wyrażenia.
Dodaj więcej wyrażeń zgodnie z potrzebami.
W przypadku dodania co najmniej trzech wyrażeń może być konieczne zgrupowanie ich nawiasami, aby operatory logiczne łączące się były oceniane poprawnie. Dodaj znaczniki wyboru obok wyrażeń, które chcesz zgrupować, a następnie wybierz pozycję Grupuj. Aby usunąć grupowanie, wybierz pozycję Rozgrupuj.
Krok 6. Przeglądanie i dodawanie warunku
Przewiń w górę do pozycji Typ edytora i kliknij pozycję Kod.
Warunek jest wyświetlany jako kod. Możesz wprowadzić zmiany w warunku w tym edytorze kodu. Edytor kodu może być przydatny do wklejania przykładowego kodu lub dodawania większej liczby operatorów lub logiki w celu utworzenia bardziej złożonych warunków. Aby wrócić do edytora wizualizacji, kliknij pozycję Wizualizacja.
Kliknij przycisk Zapisz , aby dodać warunek do przypisania roli.
Wyświetlanie, edytowanie lub usuwanie warunku
W witrynie Azure Portal otwórz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami) dla przypisania roli z warunkiem, który chcesz wyświetlić, edytować lub usunąć.
Kliknij kartę Przypisania ról i znajdź przypisanie roli.
W kolumnie Warunek kliknij pozycję Wyświetl/Edytuj.
Jeśli nie widzisz linku Wyświetl/Edytuj, upewnij się, że patrzysz na ten sam zakres co przypisanie roli.
Zostanie wyświetlona strona Dodawanie warunku przypisania roli.
Użyj edytora, aby wyświetlić lub edytować warunek.
Po skończeniu kliknij przycisk Zapisz. Aby usunąć cały warunek, kliknij pozycję Usuń warunek. Usunięcie warunku nie powoduje usunięcia przypisania roli.