通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 门户添加或编辑 Azure 角色分配条件

Azure 角色分配条件是可选的检查,可以添加到角色分配以提供更精细的访问控制。 例如,为了读取某个对象,可以添加要求该对象具有特定标记的条件。 本文介绍如何使用 Azure 门户为角色分配添加、编辑、查看或删除条件。

先决条件

有关添加或编辑角色分配条件的先决条件的信息,请参阅条件的先决条件

步骤 1:确定所需的条件

若要了解可能对你有用的条件的一些想法,请查看 Blob 存储示例 Azure 角色分配条件中的示例。

目前,可以将条件添加到内置或自定义角色分配中,这些角色具有 Blob 存储数据操作队列存储数据操作。 这包括以下内置角色:

步骤 2:选择如何添加条件

可通过两种方式添加条件。 添加新角色分配时可以添加条件,也可以向现有角色分配添加条件。

新角色分配

  1. 请按以下步骤通过 Azure 门户分配 Azure 角色。

  2. 在“ 条件”(可选) 选项卡上,单击“ 添加条件”。

    如果未看到“条件”选项卡(可选),请确保选择了支持条件的角色。

    “添加角色分配”页的屏幕截图,其中包含“添加条件”选项卡。

    此时会显示“添加角色分配条件”页。

现有角色分配

  1. 在 Azure 门户中,在要添加条件的范围打开 访问控制(IAM )。 例如,可以打开订阅、资源组或资源。

    目前,无法使用 Azure 门户在管理组范围内添加、查看、编辑或删除条件。

  2. 单击“ 角色分配 ”选项卡可查看此范围中的所有角色分配。

  3. 查找某个角色分配,其中包含要添加条件的存储数据操作。

  4. “条件 ”列中,单击“ 添加”。

    如果未看到“添加”链接,请确保查看的范围与角色分配范围相同。

    具有条件列的角色分配列表。

    此时会显示“添加角色分配条件”页。

步骤 3:回顾基础知识

打开“添加角色分配条件”页后,可以查看条件的基本信息。 角色 表示条件将被添加到的角色。

  1. 对于“编辑器类型”选项,保留默认可视化为选中状态。

    添加条件后,可以在视觉对象和代码之间切换。

  2. (可选)如果出现 “说明 ”框,请输入说明。

    根据选择添加条件的方式,可能不会看到“说明”框。 说明可帮助你了解和记住条件的目的。

    “添加角色分配条件”页,其中显示了编辑器类型和说明。

步骤 4:添加动作

  1. 添加操作部分中,单击添加操作

    此时会显示“选择一个操作”窗格。 此窗格是基于角色分配(将作为条件的目标)进行了筛选的数据操作列表。 有关详细信息,请参阅 Azure 角色分配条件格式和语法

    为已选择操作的条件选择操作窗格。

  2. 如果条件为真,请选择要允许的操作。

    如果为单个条件选择多个作,则为条件选择的属性可能更少,因为属性必须跨所选作可用。

  3. 单击“选择”

    所选操作显示在操作列表中。

步骤 5:生成表达式

  1. “生成表达式 ”部分中,单击“ 添加表达式”。

    “表达式”部分展开。

  2. “属性源 ”列表中,选择可在何处找到该属性。

    • 环境 指示该属性与访问资源的网络环境(例如专用链接或当前日期和时间)相关联。
    • 资源 指示属性位于资源上,例如容器名称。
    • 请求 指示属性是操作请求的一部分,例如设置 Blob 索引标签。
    • 主体 指示该属性是Microsoft Entra 自定义安全属性主体,例如用户、企业应用程序(服务主体)或托管标识。

  3. “属性” 列表中,选择表达式左侧的属性。

    有关支持的属性源和单个属性的详细信息,请参阅 “属性”。

    根据所选属性,可能会添加框以指定其他属性详细信息或运算符。 例如,某些属性支持 Exists 函数运算符,可用于测试该属性当前是否与资源(如加密范围)相关联。

  4. “运算符 ”列表中,选择一个运算符。

    有关详细信息,请参阅 Azure 角色分配条件格式和语法

  5. “值 ”框中,输入表达式右侧的值。

    生成表达式部分,其中包含 Blob 索引标记的值。

  6. 根据需要添加更多表达式。

    如果添加三个或更多个表达式,则可能需要用括号对它们进行分组,以便正确计算连接的逻辑运算符。 在要分组的表达式旁边添加复选标记,然后选择“ ”。 若要删除分组,请选择“ 取消分组”。

    生成表达式部分,其中包含要分组的多个表达式。

步骤 6:查看和添加条件

  1. 向上滚动到 编辑器类型 ,然后单击“ 代码”。

    条件显示为代码。 可以对此代码编辑器中的条件进行更改。 代码编辑器可用于粘贴示例代码,或者添加更多运算符或逻辑来生成更复杂的条件。 若要返回到视觉对象编辑器,请单击 “视觉对象”。

    显示在代码编辑器中的条件,选定了操作并添加了表达式。

  2. 单击“ 保存 ”将条件添加到角色分配。

查看、编辑或删除条件

  1. 在 Azure 门户中,打开包含条件的角色分配的 访问控制(IAM),以查看、编辑或删除该条件。

  2. 单击 “角色分配 ”选项卡,找到角色分配。

  3. “条件 ”列中,单击“ 查看/编辑”。

    如果未看到“查看/编辑”链接,请确保你查看的是与角色分配相同的范围。

    角色分配列表,带有条件的查看/编辑链接。

    此时会显示“添加角色分配条件”页。

  4. 使用编辑器查看或编辑条件。

    单击“视图/编辑”链接后在编辑器中显示的条件。

  5. 完成后,单击“保存”。 若要删除整个条件,请单击“ 删除”条件。 删除条件不会删除角色分配。

后续步骤