Поделиться через

Добавление или изменение условий назначения ролей Azure с помощью портала Azure

  • Статья

Условие назначения ролей Azure — это необязательный элемент, который можно добавить в назначение роли, чтобы обеспечить более точное управление доступом. Например, можно добавить условие, требующее, чтобы у объекта был конкретный тег, чтобы его можно было прочитать. В этой статье описывается, как добавлять, изменять, просматривать или удалять условия назначения ролей с помощью портала Azure.

Предпосылки

Дополнительные сведения о предварительных требованиях для добавления и изменения условий назначения ролей см. в разделе Требования к условиям.

Шаг 1. Определение необходимого условия

Чтобы получить некоторые идеи об условиях, которые могут быть полезны для вас, ознакомьтесь с примерами в примерах условий назначения ролей Azure для хранилища BLOB-объектов.

В настоящее время условия можно добавить к встроенным или пользовательским назначениям ролей, которые имеют действия с данными хранилища BLOB-объектов или действия с данными хранилища очередей. К ним относятся следующие встроенные роли:

Шаг 2. Выбор способа добавления условия

Можно добавить условие двумя способами. При добавлении нового назначения роли можно добавить условие или добавить условие в существующее назначение роли.

Новое назначение ролей

  1. Выполните действия по назначению ролей Azure с помощью портала Azure.

  2. На вкладке "Условия" (необязательно) нажмите кнопку "Добавить условие".

    Если вкладка "Условия" (необязательно) не отображается, убедитесь, что выбрана роль, поддерживающая условия.

    Снимок экрана: страница добавления назначения ролей с вкладкой

    Откроется страница "Добавить условие назначения ролей".

Существующее назначение ролей

  1. На портале Azure откройте элемент управления доступом (IAM) в области, в которой нужно добавить условие. Например, можно открыть подписку, группу ресурсов или ресурс.

    В настоящее время вы не можете использовать портал Azure для добавления, просмотра, изменения или удаления условия в области группы управления.

  2. Перейдите на вкладку "Назначения ролей" , чтобы просмотреть все назначения ролей в этой области.

  3. Найдите назначение роли с действиями хранения данных, в которые необходимо добавить условие.

  4. В столбце "Условие" нажмите кнопку "Добавить".

    Если вы не видите ссылку "Добавить", убедитесь, что вы просматриваете ту же область, что и назначение роли.

    Список назначений ролей со столбцом

    Откроется страница "Добавить условие назначения ролей".

Шаг 3. Обзор основных принципов

После открытия страницы "Добавление условия назначения ролей" можно просмотреть основы условия. Роль указывает роль, в которую будет добавлено условие.

  1. Для параметра "Тип редактора" оставьте выбранным по умолчанию Визуальный.

    После добавления условия можно переключаться между визуальным элементом и кодом.

  2. (Необязательно) Если появится поле "Описание ", введите описание.

    В зависимости от способа добавления условия может не отображаться поле описания. Описание может помочь вам понять и вспомнить назначение условия.

    Добавьте страницу условия назначения ролей с типом и описанием редактора.

Шаг 4. Добавление действий

  1. В разделе "Добавить действие " нажмите кнопку "Добавить действие".

    Появляется область "Выберите действие". Эта панель — отфильтрованный список действий с данными на основе назначения роли, на который будет нацелено ваше условие. Дополнительные сведения см. в формате и синтаксисе условий назначения ролей Azure.

    Выберите область действий для условия с выбранным действием.

  2. Выберите действия, которые нужно разрешить, если условие истинно.

    Если вы выберете несколько действий для одного условия, количество доступных атрибутов для этого условия может уменьшиться, поскольку атрибуты должны быть доступны во всех выбранных действиях.

  3. Щелкните Выбрать.

    Выбранные действия отображаются в списке действий.

Шаг 5. Создание выражений

  1. В разделе "Создание выражения" нажмите "Добавить выражение".

    Раздел "Выражения" расширяется.

  2. В списке источников атрибутов выберите, где можно найти атрибут.

    • Среда указывает, что атрибут связан с сетевой средой, через которую обращается ресурс, например приватный канал, или текущую дату и время.
    • Ресурс указывает, что атрибут находится в ресурсе, например имя контейнера.
    • Запрос указывает, что атрибут является частью запроса на выполнение действия, например установку тега индексa BLOB.
    • Субъект указывает, что атрибут является субъектом пользовательского атрибута безопасности Microsoft Entra, например пользователем, корпоративным приложением (субъектом-службой) или управляемым удостоверением.

  3. В списке атрибутов выберите атрибут для левой части выражения.

    Дополнительные сведения о поддерживаемых источниках атрибутов и отдельных атрибутах см. в разделе "Атрибуты".

    В зависимости от выбранного атрибута можно добавить поля, чтобы указать дополнительные сведения о атрибуте или операторы. Например, некоторые атрибуты поддерживают оператор функции "Существует", который можно использовать для проверки того, связан ли атрибут с ресурсом, например областью шифрования.

  4. В списке операторов выберите оператор.

    Дополнительные сведения см. в формате и синтаксисе условий назначения ролей Azure.

  5. В поле "Значение" введите значение правой стороны выражения.

    Создать секцию выражений со значениями для тегов индексаторов BLOB.

  6. Добавьте дополнительные выражения по мере необходимости.

    При добавлении трех или более выражений может потребоваться сгруппировать их скобками, чтобы логические операторы обрабатывались правильно. Добавьте флажки рядом с выражениями, которые нужно сгруппировать, а затем выберите "Группа". Чтобы удалить группирование, выберите "Разгруппировать".

    Постройте раздел выражений с несколькими выражениями для группировки.

Шаг 6. Проверка и добавление условия

  1. Прокрутите до типа редактора и нажмите кнопку "Код".

    Условие отображается как код. Вы можете внести изменения в условие в этом редакторе кода. Редактор кода может быть полезен для вставки примера кода или добавления дополнительных операторов или логики для создания более сложных условий. Чтобы вернуться к визуальному редактору, нажмите Визуальный.

    Условие, отображаемое в редакторе кода с выбранными действиями и добавленным выражением.

  2. Нажмите кнопку "Сохранить", чтобы добавить условие в назначение роли.

Просмотр, изменение или удаление условия

  1. На портале Azure откройте элемент управления доступом (IAM) для назначения роли с условием, которое требуется просмотреть, изменить или удалить.

  2. Перейдите на вкладку "Назначения ролей " и найдите назначение роли.

  3. В столбце "Условие" нажмите кнопку "Вид/изменить".

    Если вы не видите ссылку Просмотр/Редактирование, убедитесь, что вы смотрите в такую же область, что и назначение роли.

    Список назначений ролей с ссылкой view/Edit для условия.

    Откроется страница "Добавить условие назначения ролей".

  4. Используйте редактор для просмотра или изменения условия.

    Условие, отображаемое в редакторе после нажатия кнопки View/Edit link.

  5. По завершении щелкните Сохранить. Чтобы удалить все условие, нажмите кнопку "Удалить". Удаление условия не удаляет назначение роли.

Дальнейшие действия