Добавление или изменение условий назначения ролей Azure с помощью портал Azure
Условие назначения ролей Azure — это необязательный проверка, который можно добавить в назначение роли, чтобы обеспечить более точное управление доступом. Например, можно добавить условие, которое требует наличия у объекта конкретного тега, чтобы объект можно было считать. В этой статье объясняется, как добавлять, изменять, просматривать и удалять условия для назначений ролей с помощью портала Azure.
Необходимые компоненты
Дополнительные сведения о предварительных требованиях для добавления и изменения условий назначения ролей см. в разделе Требования к условиям.
Шаг 1. Определение необходимого условия
Чтобы получить некоторые идеи об условиях, которые могут оказаться полезными для вас, ознакомьтесь с примерами в примерах условий назначения ролей Azure для служба хранилища BLOB-объектов.
В настоящее время условия можно добавить в встроенные или пользовательские назначения ролей, которые имеют действия с данными хранилища BLOB-объектов или действиями хранилища очередей. К ним относятся следующие встроенные роли:
- участник данных BLOB-объектов хранилища;
- владелец данных BLOB-объектов хранилища;
- читатель данных больших двоичных объектов хранилища.
- Участник для данных очереди хранилища
- Обработчик сообщений данных в очереди хранилища
- Отправитель сообщений данных в очередь хранилища
- Читатель данных очереди хранилища
Шаг 2. Выбор способа добавления условия
Добавить условие можно двумя способами. Вы можете добавить условие при добавлении нового назначения роли или к существующему назначению.
Новое назначение роли
Воспользуйтесь инструкциями в статье Назначение ролей Azure с помощью портала Azure.
На вкладке Условия (необязательно) нажмите кнопку Добавить условие.
Если вкладка "Условия" (необязательно) не отображается, убедитесь, что выбрана роль, поддерживающая условия.
Откроется страница добавления условия назначения роли.
Существующее назначение роли
На портале Azure откройте раздел Управление доступом (IAM) для области, в которую нужно добавить условие. Например, можно открыть подписку, группу ресурсов или ресурс.
В настоящее время нельзя использовать портал Azure для добавления, просмотра, изменения или удаления условия в группе управления область.
Щелкните вкладку Назначения ролей, чтобы просмотреть все назначения ролей в этой области.
Найдите назначение роли, содержащее действия с данными хранилища, в которые необходимо добавить условие.
В столбце Условие нажмите кнопку Добавить.
Если вы не видите ссылку "Добавить", убедитесь, что вы просматриваете ту же область, что и назначение роли.
Откроется страница добавления условия назначения роли.
Шаг 3. Проверка основных параметров
На странице "Добавление условия назначения роли" можно ознакомиться с основными параметрами условия. Роль указывает роль, к которой будет добавлено условие.
Для параметра Тип редактора оставьте выбранный по умолчанию вариант Визуальный.
После добавления условия можно переключаться между визуальным и программным режимами.
Необязательно: если появится окно Описание, введите описание.
В зависимости от того, как вы решили добавить условие, поле "Описание "может не отображаться. Описание может помочь вам понять и вспомнить назначение условия.
Шаг 4. Добавление действий
В разделе Добавить действие щелкните Добавить действие.
Отобразится область "Выберите действие". Эта область представляет собой отфильтрованный список действий с данными на основе назначения роли, который будет целевым объектом условия. Дополнительные сведения см. в разделе Формат и синтаксис условия назначения роли Azure.
Выберите действия, которые должны быть разрешены, если условие истинно.
Если для одного условия выбрано несколько действий, набор атрибутов, которые можно выбрать для проверки условий, может сузиться, поскольку атрибуты должны быть доступны во всех выбранных действиях.
Щелкните Выбрать.
Выбранные действия отобразятся в списке действий.
Шаг 5. Построение выражений
В разделе Построение выражений щелкните Добавить выражение.
Развернется раздел "Выражение".
В списке источников атрибутов выберите, где можно найти атрибут.
- Среда указывает, что атрибут связан с сетевой средой, через которую обращается ресурс, например приватный канал, или текущую дату и время.
- Ресурс: атрибут находится в ресурсе, таком как имя контейнера.
- Запрос: атрибут является частью запроса действия, таком как указание тега индекса BLOB-объекта.
- Субъект указывает, что атрибут является субъектом пользовательского атрибута безопасности Microsoft Entra, например пользователем, корпоративным приложением (субъектом-службой) или управляемым удостоверением.
В списке атрибутов выберите атрибут для левой части выражения.
Дополнительные сведения о поддерживаемых источниках атрибутов и отдельных атрибутах см. в разделе "Атрибуты".
В зависимости от выбранного атрибута можно добавить поля, чтобы указать дополнительные сведения о атрибуте или операторы. Например, некоторые атрибуты поддерживают оператор функции "Существует", который можно использовать для проверки того, связан ли атрибут с ресурсом, например с область шифрования.
В списке операторов выберите оператор.
Дополнительные сведения см. в разделе Формат и синтаксис условия назначения роли Azure.
В поле "Значение" введите значение правой стороны выражения.
Добавьте дополнительные выражения по мере необходимости.
При добавлении трех или более выражений может потребоваться сгруппировать их с круглыми скобками, чтобы логические операторы были правильно оценены. Добавьте проверка метки рядом с выражениями, которые вы хотите сгруппировать, а затем выберите группу. Чтобы удалить группирование, выберите "Разгруппировать".
Шаг 6. Проверка и добавление условия
Прокрутите вверх до элемента Тип редактора и щелкните Код.
Условие отобразится в виде кода. В этом редакторе кода можно внести в условие изменения. Редактор кода может быть полезен для вставки примера кода или добавления дополнительных операторов или логики для создания более сложных условий. Чтобы вернуться в визуальный редактор, щелкните Визуальный.
Нажмите кнопку Сохранить, чтобы добавить условие к назначению роли.
Просмотр, изменение или и удаление условия
На портале Azure откройте Управления доступом (IAM) для назначения роли с условием, которое необходимо просмотреть, изменить или удалить.
На вкладке Назначения ролей найдите назначение роли.
В столбце Условие нажмите кнопку Просмотреть/изменить.
Если вы не видите ссылку view/Edit, убедитесь, что вы просматриваете ту же область, что и назначение роли.
Откроется страница добавления условия назначения роли.
Просмотрите и измените условие в редакторе.
По завершении щелкните Сохранить. Чтобы удалить все условие, нажмите кнопку Удалить условие. Удаление условия не приводит к удалению назначения роли.