Предварительные требования для условий назначения ролей Azure
Чтобы добавить или изменить условия назначения ролей Azure, необходимо выполнить следующие предварительные требования.
Учетные записи хранения
Для условий, в которых используются теги индекса BLOB-объектов, необходимо использовать учетную запись хранения, совместимую с функцией индекса BLOB-объектов. Например, в настоящее время поддерживаются только учетные записи хранения общего назначения v2 (GPv2) с отключенным иерархическим пространством имен (HNS). Дополнительные сведения см. в статье "Управление и поиск данных BLOB-объектов Azure с помощью тегов индекса BLOB-объектов"
Azure PowerShell
При использовании Azure PowerShell для добавления или обновления условий необходимо использовать следующие версии:
- Модуль AZ 5.5.0 или более поздней версии
- Модуль AZ.Resources 3.2.1 или более поздней версии
- Входит в состав модуля AZ v5.5.0 и более поздних версий, но его можно установить вручную с помощью коллекции PowerShell
- Модуль AZ.Storage предварительной версии 2.5.2-preview или более поздней версии
Azure CLI
При использовании Azure CLI для добавления или обновления условий необходимо использовать следующие версии:
REST API
При использовании REST API для добавления или обновления условий необходимо использовать следующие версии:
2020-03-01-previewили более поздней версии.2020-04-01-previewили более поздней версии, если вы хотите использоватьdescriptionсвойство для назначений ролей2022-04-01является первой стабильной версией
Дополнительные сведения см. в версиях API REST API Azure RBAC.
Разрешения
Как и назначения ролей, чтобы добавить или обновить условия, необходимо войти в Azure с помощью пользователя Microsoft.Authorization/roleAssignments/write с разрешениями и Microsoft.Authorization/roleAssignments/delete разрешениями, такими как роль на основе контроль доступа Администратор istrator.
Атрибуты субъекта
Чтобы использовать атрибуты субъекта (настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra ID), необходимо иметь следующее:
- Назначение атрибутов Администратор istrator в наборе атрибутов или область клиента
- Настраиваемые атрибуты безопасности, определенные в идентификаторе Microsoft Entra
Дополнительные сведения о настраиваемых атрибутах безопасности см. в следующем разделе:
- Субъект не отображается в источнике атрибутов
- Добавление или отключение настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra
Атрибуты среды
Чтобы использовать атрибут частной конечной точки, в подписке должна быть настроена по крайней мере одна частная конечная точка.
Чтобы использовать атрибут Подсети, необходимо иметь по крайней мере одну подсеть виртуальной сети с помощью конечных точек служб, настроенных в подписке.