Perguntas frequentes sobre as condições de atribuição de função do Azure
Perguntas frequentes
É possível escolher os nomes do contêiner de armazenamento ou o caminho do blob no construtor de condições do ABAC visual no portal do Azure?
Você deve gravar o nome do contêiner de armazenamento, o caminho do blob, o nome da marca ou os valores na condição. Não há experiência de separação para os valores de atributo.
Você pode verificar a existência de um atributo com base em uma condição?
Você pode usar o operador Exists com qualquer atributo ABAC, mas ele só tem suporte no construtor de condições do ABAC visual para alguns deles. É possível adicionar o operador Exists a qualquer atributo usando outras ferramentas, como o PowerShell, a CLI do Azure, a API REST e o editor de código de condição no portal do Azure. Para obter uma lista de atributos para os quais ele tem suporte no construtor de condições de visual, consulte o operador de função Exists. Para adicionar o operador exists a um atributo ao criar uma expressão em uma condição, selecione a origem e o atributo com suporte e selecione a caixa ao lado de Exists sob ele. ConfiraCriar expressões no portal para obter mais detalhes.
É possível agrupar expressões?
Se você adicionar três ou mais expressões para uma ação de destino, deverá definir o agrupamento lógico dessas expressões no editor de código, no Azure PowerShell ou no CLI do Azure. Um agrupamento lógico de a AND b OR c pode ser (a AND b) OR c ou a AND (b OR c ).
As condições têm suporte por meio do Microsoft Entra PIM (Microsoft Entra Privileged Identity Management) para recursos do Azure?
Sim, para funções específicas. Para obter mais informações, confira Atribuir funções de recursos do Azure no Privileged Identity Management.
As condições têm suporte para administradores clássicos?
Não.
É possível adicionar condições a atribuições de função personalizadas?
Sim, desde que a função personalizada inclua ações que ofereçam suporte a condições.
As condições aumentam a latência de acesso aos blobs de armazenamento?
Não, com base em nossos testes de parâmetro de comparação, não se espera que as condições adicionem latência perceptível pelo usuário.
Quais novas propriedades foram introduzidas no esquema de atribuição de função para dar suporte às condições?
Estas são as novas propriedades de condição:
condition: instrução de condição criada usando uma ou mais ações de definição de função e atributos.conditionVersion: um número de versão da condição. O padrão é 2.0 e é a única versão com suporte público.
Também há uma nova propriedade de descrição para atribuições de função:
description: a descrição da atribuição de função que pode ser usada para descrever a condição.
Uma condição é aplicada a toda a atribuição de função ou a ações específicas?
Uma condição só é aplicada às ações direcionadas específicas.
Quais são os limites de uma condição?
Uma condição pode ter até 8 KB de comprimento.
Quais são os limites de uma descrição?
Uma descrição pode ter até 2 KB de comprimento.
É possível criar uma atribuição de função com e sem uma condição, mas usando a mesma tupla de entidade de segurança, definição de função e escopo?
Não, se você tentar criar essa atribuição de função, um erro será exibido.
As condições nas atribuições de função oferecem um efeito de negação explícito?
Não, as condições nas atribuições de função não têm um efeito de negação explícito. As condições nas atribuições de função filtram o acesso concedido em uma atribuição de função, o que pode resultar em acesso não permitido. O efeito de negação explícita faz parte das atribuições de negação.