Hinzufügen und Bearbeiten von Bedingungen für die Azure-Rollenzuweisung über das Azure-Portal

  • Artikel

Eine Azure-Rollenzuweisungsbedingung ist eine optionale Überprüfung, die Sie Ihrer Rollenzuweisung hinzufügen können, um die Zugriffssteuerung präziser zu gestalten. So können Sie beispielsweise eine Bedingung hinzufügen, die festgelegt, dass ein Objekt über ein bestimmtes Tag verfügen muss, damit das Objekt gelesen werden kann. In diesem Artikel wird beschrieben, wie Sie über das Azure-Portal Bedingungen für Ihre Rollenzuweisungen hinzufügen, bearbeiten, anzeigen oder löschen.

Voraussetzungen

Informationen zu den Voraussetzungen für das Hinzufügen oder Bearbeiten von Rollenzuweisungsbedingungen finden Sie unter Voraussetzungen für Bedingungen.

Schritt 1: Bestimmen der erforderlichen Bedingung

Wenn Sie einige Ideen zu Bedingungen erhalten möchten, die für Sie nützlich sein könnten, lesen Sie die Beispiele Beispiel für Azure-Rollenzuweisungsbedingungen für Blob Storage.

Derzeit können Bedingungen zu integrierten oder benutzerdefinierten Rollenzuweisungen hinzugefügt werden, die über Blob-Speicherdatenaktionen oder Warteschlangen-Speicherdatenaktionen verfügen. Dies umfasst die folgenden integrierten Rollen:

Schritt 2: Auswählen der Methode zum Hinzufügen einer Bedingung

Es gibt zwei Möglichkeiten, um eine Bedingung hinzuzufügen. Sie können eine Bedingung beim Hinzufügen einer neuen Rollenzuweisung hinzufügen, oder Sie fügen einer vorhandenen Rollenzuweisung eine Bedingung hinzu.

Neue Rollenzuweisung

  1. Befolgen Sie die Schritte zum Zuweisen von Azure-Rollen über das Azure-Portal.

  2. Klicken Sie auf der Registerkarte Bedingungen (optional) auf Bedingung hinzufügen.

    Wenn die Registerkarte „Conditions (optional)“ (Bedingungen (optional)) nicht angezeigt wird, stellen Sie sicher, dass Sie eine Rolle ausgewählt haben, die Bedingungen unterstützt.

    Screenshot: Seite „Rollenzuweisung hinzufügen“ mit der Registerkarte „Bedingung hinzufügen“.

    Die Seite „Bedingung für Rollenzuweisung hinzufügen“ wird angezeigt.

Vorhandene Rollenzuweisung

  1. Öffnen Sie im Azure-Portal die Zugriffssteuerung (IAM) im Bereich, in dem Sie eine Bedingung hinzufügen möchten. Beispielsweise können Sie ein Abonnement, eine Ressourcengruppe oder eine Ressource öffnen.

    Aktuell können Bedingungen für Verwaltungsgruppen nicht über das Azure-Portal hinzugefügt, angezeigt, bearbeitet oder gelöscht werden.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um alle Rollenzuweisungen für diesen Bereich anzuzeigen.

  3. Suchen Sie nach einer Rollenzuweisung mit Speicherdatenaktionen, der Sie eine Bedingung hinzufügen möchten.

  4. Klicken Sie in der Spalte Bedingung auf Hinzufügen.

    Wenn der Link „Hinzufügen“ nicht angezeigt wird, überprüfen Sie, ob der Bereich dem Bereich der Rollenzuweisung entspricht.

    Rollenzuweisungsliste mit der Spalte „Bedingung“.

    Die Seite „Bedingung für Rollenzuweisung hinzufügen“ wird angezeigt.

Schritt 3: Überprüfen der grundlegenden Informationen

Nachdem die Seite zum Hinzufügen einer Rollenzuweisungsbedingung geöffnet wurde, können Sie die grundlegenden Informationen der Bedingung überprüfen. Rolle gibt die Rolle an, der die Bedingung hinzugefügt wird.

  1. Übernehmen Sie für die Option Editor-Typ die Standardeinstellung Visuelles Element.

    Nachdem Sie eine Bedingung hinzugefügt haben, können Sie zwischen einem visuellen Element und Code wechseln.

  2. (Optional) Wenn das Feld Beschreibung angezeigt wird, geben Sie eine Beschreibung ein.

    Abhängig von der gewählten Methode zum Hinzufügen einer Bedingung wird das Feld „Beschreibung“ möglicherweise nicht angezeigt. Eine Beschreibung ist nützlich, um mehr über eine Bedingung zu erfahren und sich den Zweck der Bedingung besser einzuprägen.

    Seite zum Hinzufügen einer Rollenzuweisungsbedingung mit Anzeige des Editor-Typs und einer Beschreibung.

Schritt 4: Hinzufügen von Aktivitäten

  1. Klicken Sie im Abschnitt Aktion hinzufügen auf Aktion hinzufügen.

    Die Seite „Aktion auswählen“ wird angezeigt. In diesem Bereich wird eine gefilterte Liste mit Datenaktionen angezeigt, die auf der Rollenzuweisung basiert, die als Ziel Ihrer Bedingung verwendet wird. Weitere Informationen finden Sie unter Format und Syntax für Azure-Rollenzuweisungsbedingungen.

    Wählen Sie einen Aktionsbereich für die Bedingung mit ausgewählter Aktion aus.

  2. Wählen Sie die Aktionen aus, die bei erfüllter Bedingung zugelassen werden sollen.

    Wenn Sie mehrere Aktionen für eine einzelne Bedingung auswählen, stehen für Ihre Bedingung möglicherweise weniger Attribute zur Auswahl, weil die Attribute für alle ausgewählten Aktionen verfügbar sein müssen.

  3. Klicken Sie auf Auswählen.

    Die ausgewählten Aktionen werden in der Liste mit den Aktionen angezeigt.

Schritt 5: Erstellen von Ausdrücken

  1. Klicken Sie im Abschnitt Ausdruck erstellen auf Ausdruck hinzufügen.

    Der Abschnitt „Ausdrücke“ wird erweitert.

  2. Wählen Sie in der Liste Attributquelle aus, wo sich das Attribut befindet.

    • Umgebung gibt an, dass das Attribut der Netzwerkumgebung zugeordnet ist, über die auf die Ressource zugegriffen wird, z. B. eine private Verknüpfung oder das aktuelle Datum und die aktuelle Uhrzeit.
    • Ressource gibt an, dass sich das Attribut in der Ressource (z. B. der Containername) befindet.
    • Anforderung gibt an, dass das Attribut Teil der Aktionsanforderung ist (z. B. das Festlegen des Blobindextags).
    • Prinzipal gibt an, dass es sich bei dem Attribut um ein benutzerdefiniertes Microsoft Entra-Sicherheitsattribut für den Prinzipal handelt, wie z. B. einen Benutzer, eine Unternehmensanwendung (Dienstprinzipal) oder eine verwaltete Identität.

  3. Wählen Sie in der Liste Attribut ein Attribut für die linke Seite des Ausdrucks aus.

    Weitere Informationen zu unterstützten Attributquellen und einzelnen Attributen finden Sie unter Attribute.

    Abhängig vom ausgewählten Attribut werden möglicherweise Felder hinzugefügt, um zusätzliche Attributdetails oder Operatoren anzugeben. Beispielsweise unterstützen einige Attribute den Exists-Funktionsoperator, mit dem Sie testen können, ob das Attribut derzeit der Ressource zugeordnet ist, z. B. einem Verschlüsselungsbereich.

  4. Wählen Sie in der Liste Operator einen Operator aus.

    Weitere Informationen finden Sie unter Format und Syntax für Azure-Rollenzuweisungsbedingungen.

  5. Geben Sie im Feld Wert einen Wert für die rechte Seite des Ausdrucks ein.

    Abschnitt zum Erstellen eines Ausdrucks mit Werten für Blobindextags.

  6. Fügen Sie bei Bedarf weitere Ausdrücke hinzu.

    Wenn Sie drei oder mehr Ausdrücke hinzufügen, müssen Sie diese möglicherweise mit Klammern gruppieren, damit die logischen Verbindungsoperatoren richtig ausgewertet werden. Setzen Sie Häkchen neben die Ausdrücke, die Sie gruppieren möchten, und wählen Sie dann Gruppe aus. Um die Gruppierung zu entfernen, wählen Sie Gruppierung aufheben aus.

    Abschnitt „Ausdruck erstellen“ mit mehreren zu gruppierenden Ausdrücken

Schritt 6: Überprüfen und Hinzufügen der Bedingung

  1. Scrollen Sie nach oben zu Editor-Typ, und klicken Sie auf Code.

    Die Bedingung wird als Code angezeigt. In diesem Code-Editor können Sie Änderungen an der Bedingung vornehmen. Der Code-Editor kann zum Einfügen von Beispielcode oder zum Hinzufügen weiterer Operatoren oder Logik zum Erstellen komplexerer Bedingungen hilfreich sein. Durch Klicken auf Visuelles Element können Sie zum visuellen Editor zurückkehren.

    Bedingung im Code-Editor mit ausgewählten Aktionen und hinzugefügtem Ausdruck.

  2. Klicken Sie auf Speichern, um die Bedingung zur Rollenzuweisung hinzuzufügen.

Anzeigen, Bearbeiten oder Löschen einer Bedingung

  1. Öffnen Sie im Azure-Portal die Zugriffssteuerung (IAM) für die Rollenzuweisung mit der Bedingung, die Sie anzeigen, bearbeiten oder löschen möchten.

  2. Klicken Sie auf die Registerkarte Rollenzuweisungen, um nach der Rollenzuweisung zu suchen.

  3. Klicken Sie in der Spalte Bedingung auf Anzeigen/Bearbeiten.

    Wenn der Link zum Anzeigen/Bearbeiten nicht angezeigt wird, überprüfen Sie, ob der Bereich dem Bereich der Rollenzuweisung entspricht.

    Rollenzuweisungsliste mit dem Link zum Anzeigen/Bearbeiten für eine Bedingung.

    Die Seite „Bedingung für Rollenzuweisung hinzufügen“ wird angezeigt.

  4. Verwenden Sie den Editor, um die Bedingung anzuzeigen oder zu bearbeiten.

    Bedingung im Editor, nachdem Sie auf den Link zum Anzeigen/Bearbeiten geklickt haben.

  5. Klicken Sie abschließend auf Speichern. Zum Löschen der gesamten Bedingung klicken Sie auf Bedingung löschen. Durch das Löschen der Bedingung wird die Rollenzuweisung nicht entfernt.

Nächste Schritte