Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine Azure-Rollenzuweisungsbedingung ist eine optionale Überprüfung, die Sie Ihrer Rollenzuweisung hinzufügen können, um eine präzisere Zugriffssteuerung bereitzustellen. So können Sie beispielsweise eine Bedingung hinzufügen, die vorschreibt, dass ein Objekt ein bestimmtes Etikett tragen muss, um es lesen zu können. In diesem Artikel wird beschrieben, wie Sie Bedingungen für Ihre Rollenzuweisungen mithilfe des Azure-Portals hinzufügen, bearbeiten, anzeigen oder löschen.
Voraussetzungen
Informationen zu den Voraussetzungen für das Hinzufügen oder Bearbeiten von Rollenzuweisungsbedingungen finden Sie unter Voraussetzungen für Bedingungen.
Schritt 1: Ermitteln der benötigten Bedingung
Wenn Sie einige Ideen zu Bedingungen erhalten möchten, die für Sie nützlich sein könnten, lesen Sie die Beispiele in den Beispielen zu Azure-Rollenzuweisungsbedingungen für Blob Storage.
Derzeit können Bedingungen integrierten oder benutzerdefinierten Rollenzuweisungen hinzugefügt werden, die Blobspeicherdatenaktionen oder Speicherdatenaktionen in der Warteschlange enthalten. Dies umfasst die folgenden integrierten Rollen:
- Mitwirkender an Speicherblobdaten
- Besitzer von Speicherblobdaten
- Leser von Speicherblobdaten
- Mitwirkender an Storage-Warteschlangendaten
- Verarbeiter von Speicherwarteschlangen-Datennachrichten
- Absender der Speicherwarteschlangen-Datennachricht
- Storage-Queue-Datenleser
Schritt 2: Auswählen, wie Bedingung hinzugefügt werden soll
Es gibt zwei Möglichkeiten, eine Bedingung hinzuzufügen. Sie können eine Bedingung hinzufügen, wenn Sie eine neue Rollenzuweisung hinzufügen oder einer vorhandenen Rollenzuweisung eine Bedingung hinzufügen.
Neue Rollenzuweisung
Führen Sie die Schritte aus, um Azure-Rollen mithilfe des Azure-Portals zuzuweisen.
Klicken Sie auf der Registerkarte "Bedingungen" (optional) auf " Bedingung hinzufügen".
Wenn die Registerkarte "Bedingungen" (optional) nicht angezeigt wird, stellen Sie sicher, dass Sie eine Rolle ausgewählt haben, die Bedingungen unterstützt.
Die Seite "Rollenzuweisungsbedingung hinzufügen" wird angezeigt.
Vorhandene Rollenzuweisung
Öffnen Sie im Azure-Portal die Zugriffssteuerung (IAM) im Bereich, in dem Sie eine Bedingung hinzufügen möchten. Sie können beispielsweise ein Abonnement, eine Ressourcengruppe oder eine Ressource öffnen.
Derzeit können Sie das Azure-Portal nicht verwenden, um eine Bedingung hinzuzufügen, anzuzeigen, zu bearbeiten oder zu löschen, die zu einem Verwaltungsgruppenbereich hinzugefügt wird.
Klicken Sie auf die Registerkarte "Rollenzuweisungen ", um alle Rollenzuweisungen in diesem Bereich anzuzeigen.
Suchen Sie eine Rollenzuweisung mit Speicherdatenaktionen, denen Sie eine Bedingung hinzufügen möchten.
Klicken Sie in der Spalte "Bedingung " auf "Hinzufügen".
Wenn der Link "Hinzufügen" nicht angezeigt wird, stellen Sie sicher, dass Sie denselben Bereich wie die Rollenzuweisung betrachten.
Die Seite "Rollenzuweisungsbedingung hinzufügen" wird angezeigt.
Schritt 3: Überprüfen der Grundlagen
Sobald die Seite "Rollenzuweisungsbedingung hinzufügen" geöffnet ist, können Sie die Grundlagen der Bedingung überprüfen. Rolle gibt die Rolle an, der die Bedingung hinzugefügt wird.
Lassen Sie für die Option "Editortyp " die Standardeinstellung "Visual" ausgewählt.
Nachdem Sie eine Bedingung hinzugefügt haben, können Sie zwischen Visual und Code umschalten.
(Optional) Wenn das Feld "Beschreibung " angezeigt wird, geben Sie eine Beschreibung ein.
Je nachdem, wie Sie eine Bedingung hinzufügen möchten, wird möglicherweise das Feld "Beschreibung" nicht angezeigt. Eine Beschreibung kann Ihnen helfen, den Zweck der Bedingung zu verstehen und zu merken.
Schritt 4: Hinzufügen von Aktionen
Klicken Sie im Abschnitt "Aktion hinzufügen " auf "Aktion hinzufügen".
Der Bereich 'Aktion auswählen' wird angezeigt. In diesem Bereich wird eine gefilterte Liste mit Datenaktionen angezeigt, die auf der Rollenzuweisung basiert, die als Ziel Ihrer Bedingung verwendet wird. Weitere Informationen finden Sie unter Azure-Rollenzuweisungsbedingungsformat und -syntax.
Wählen Sie die Aktionen aus, die Sie zulassen möchten, wenn die Bedingung "true" ist.
Wenn Sie mehrere Aktionen für eine einzelne Bedingung auswählen, gibt es möglicherweise weniger Attribute, aus denen Sie für Ihre Bedingung auswählen können, da die Attribute in den ausgewählten Aktionen verfügbar sein müssen.
Klicken Sie auf "Auswählen".
Die ausgewählten Aktionen werden in der Aktionsliste angezeigt.
Schritt 5: Erstellen von Ausdrücken
Klicken Sie im Abschnitt Ausdruck erstellen auf Ausdruck hinzufügen.
Der Abschnitt "Ausdrücke" wird erweitert.
Wählen Sie in der Attributquellliste aus, wo das Attribut gefunden werden kann.
- Die Umgebung gibt an, dass das Attribut der Netzwerkumgebung zugeordnet ist, über die auf die Ressource zugegriffen wird, z. B. eine private Verknüpfung oder das aktuelle Datum und die aktuelle Uhrzeit.
- Ressource gibt an, dass sich das Attribut auf der Ressource befindet, z. B. Containername.
- Die Anforderung gibt an, dass das Attribut Teil der Aktionsanforderung ist, z. B. das Festlegen des BLOB-Indextags.
- Prinzipal gibt an, dass das Attribut ein benutzerdefinierter Microsoft Entra-Sicherheitsattributeprinzipal ist, z. B. ein Benutzer, eine Unternehmensanwendung (Dienstprinzipal) oder eine verwaltete Identität.
Wählen Sie in der Attributliste ein Attribut für die linke Seite des Ausdrucks aus.
Weitere Informationen zu unterstützten Attributquellen und einzelnen Attributen finden Sie unter "Attribute".
Je nach ausgewähltem Attribut können Felder hinzugefügt werden, um zusätzliche Attributdetails oder Operatoren anzugeben. Beispielsweise unterstützen einige Attribute den Exists-Funktionsoperator, mit dem Sie testen können, ob das Attribut derzeit der Ressource zugeordnet ist, z. B. einem Verschlüsselungsbereich.
Wählen Sie in der Operatorliste einen Operator aus.
Weitere Informationen finden Sie unter Azure-Rollenzuweisungsbedingungsformat und -syntax.
Geben Sie im Feld "Wert " einen Wert für die rechte Seite des Ausdrucks ein.
Fügen Sie bei Bedarf weitere Ausdrücke hinzu.
Wenn Sie drei oder mehr Ausdrücke hinzufügen, müssen Sie diese möglicherweise mit Klammern gruppieren, damit die logischen Verbindungsoperatoren richtig ausgewertet werden. Fügen Sie neben den Ausdrücken, die Sie gruppieren möchten, Häkchen hinzu, und wählen Sie dann "Gruppieren" aus. Um die Gruppierung zu entfernen, wählen Sie "Gruppierung aufheben" aus.
Schritt 6: Überprüfen und Hinzufügen einer Bedingung
Scrollen Sie nach oben zum Editortyp , und klicken Sie auf "Code".
Die Bedingung wird als Code angezeigt. Sie können änderungen an der Bedingung in diesem Code-Editor vornehmen. Der Code-Editor kann zum Einfügen von Beispielcode oder zum Hinzufügen weiterer Operatoren oder Logik zum Erstellen komplexerer Bedingungen hilfreich sein. Um zum visuellen Editor zurückzukehren, klicken Sie auf "Visual".
Klicken Sie auf " Speichern ", um der Rollenzuweisung die Bedingung hinzuzufügen.
Anzeigen, Bearbeiten oder Löschen einer Bedingung
Öffnen Sie im Azure-Portal die Zugriffssteuerung (IAM) für die Rollenzuweisung, die eine Bedingung aufweist, die Sie anzeigen, bearbeiten oder löschen möchten.
Klicken Sie auf die Registerkarte "Rollenzuweisungen ", und suchen Sie die Rollenzuweisung.
Klicken Sie in der Spalte "Bedingung " auf "Ansicht/Bearbeiten".
Wenn der Link "Ansicht/Bearbeiten" nicht angezeigt wird, stellen Sie sicher, dass Sie denselben Bereich wie die Rollenzuweisung betrachten.
Die Seite "Rollenzuweisungsbedingung hinzufügen" wird angezeigt.
Verwenden Sie den Editor, um die Bedingung anzuzeigen oder zu bearbeiten.
Klicken Sie abschließend auf Speichern. Klicken Sie auf "Bedingung löschen", um die gesamte Bedingung zu löschen. Durch das Löschen der Bedingung wird die Rollenzuweisung nicht entfernt.