Preguntas frecuentes sobre las condiciones de asignación de roles de Azure
Preguntas más frecuentes
¿Puede elegir los nombres de contenedor de almacenamiento o la ruta de acceso del blob en el generador de condiciones de ABAC visual en Azure Portal?
Debe escribir el nombre del contenedor de almacenamiento, la ruta de acceso del blob, el nombre de etiqueta o los valores de la condición. No hay ninguna experiencia de selección para los valores de atributo.
¿Puede comprobar si existe un atributo de una condición?
Puede usar el Exists
operador con cualquier atributo ABAC, pero solo se admite en el generador de condiciones de ABAC visual para algunos de ellos. Puede agregar el Exists
operador a cualquier atributo mediante otras herramientas, como PowerShell, la CLI de Azure, la API REST y el editor de código de condición en Azure Portal. Para obtener una lista de atributos para los que se admite en el generador de condiciones visuales, consulte el operador de función Exists. Para agregar el operador exists a un atributo al compilar una expresión en una condición, seleccione el origen y el atributo admitidos y, a continuación, seleccione el cuadro situado junto a Exists en él. Consulte Build expressions in the portal (Crear expresiones en el portal ) para obtener más información.
¿Puede agrupar expresiones?
Si agrega tres o más expresiones para una acción de destino, debe definir la agrupación lógica de esas expresiones en el editor de código, Azure PowerShell o la CLI de Azure. Una agrupación lógica de a AND b OR c
puede ser (a AND b) OR c
o a AND (b OR c )
.
¿Se admiten condiciones a través de Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) para recursos de Azure?
Sí, para roles específicos. Para más información, vea Asignación de roles de recursos de Azure en Privileged Identity Management.
¿Se admiten condiciones para los administradores clásicos?
No.
¿Puede agregar condiciones a asignaciones de roles personalizadas?
Sí, siempre que el rol personalizado incluya acciones que admitan condiciones.
¿Aumentan las condiciones la latencia de acceso a Azure Storage Blob?
No, en función de nuestro punto de referencia, no se espera que las condiciones agreguen ninguna latencia de usuario.
¿Qué nuevas propiedades se han introducido en el esquema de asignación de roles para admitir condiciones?
Estas son las nuevas propiedades de condición:
condition
: instrucción de condición compilada mediante una o varias acciones de definición de roles y atributos.conditionVersion
: número de versión de una condición. El valor predeterminado es 2.0 y es la única versión admitida públicamente.
También hay una nueva propiedad de descripción para las asignaciones de roles:
description
: descripción de la asignación de roles que se puede usar para describir la condición.
¿Se aplica una condición a toda la asignación de roles o a acciones específicas?
Una condición solo se aplica a las acciones específicas de destino.
¿Cuáles son los límites de una condición?
Una condición puede tener hasta 8 KB de longitud.
¿Cuáles son los límites de una descripción?
Una descripción puede tener hasta 2 KB de tamaño.
¿Es posible crear una asignación de roles con y sin una condición, pero con la misma tupla de entidad de seguridad, definición de roles y ámbito?
No, si intenta crear esta asignación de roles, se muestra un error.
¿Las condiciones de las asignaciones de roles ofrecen un efecto de denegación explícito?
No, las condiciones de las asignaciones de roles no tienen un efecto de denegación explícito. Las condiciones de las asignaciones de roles filtran el acceso concedido en una asignación de roles, lo que puede dar lugar a que no se permita el acceso. El efecto de denegación explícito forma parte de las asignaciones de denegación.