Azure-szerepkör-hozzárendelési feltételek hibaelhárítása

Általános problémák

Tünet – A feltétel nincs kényszerítve

1. ok

A biztonsági tagok egy vagy több szerepkör-hozzárendeléssel rendelkeznek azonos vagy magasabb hatókörben.

1\. megoldás

Győződjön meg arról, hogy a biztonsági tagok nem rendelkeznek több olyan szerepkör-hozzárendeléssel (feltételekkel vagy feltételek nélkül), amelyek hozzáférést biztosítanak ugyanahhoz az adatművelethez, ami a feltételek nem kényszerítéséhez vezet. A kiértékelési logikával kapcsolatos információkért tekintse meg , hogyan határozza meg az Azure RBAC, hogy egy felhasználó rendelkezik-e hozzáféréssel egy erőforráshoz.

Ok 2

A szerepkör-hozzárendelés több olyan műveletből áll, amely engedélyt ad, és a feltétel nem célozza meg az összes műveletet. Létrehozhat például egy blobot, ha rendelkezik vagy /blobs/write/blobs/add/action adatműveletekkel. Ha a szerepkör-hozzárendelés mindkét adatműveletet tartalmazza, és csak az egyiket célozza meg egy feltételben, a szerepkör-hozzárendelés engedélyt ad blobok létrehozására és a feltétel megkerülésére.

2\. megoldás

Ha a szerepkör-hozzárendelés több olyan műveletből áll, amely engedélyt ad, győződjön meg arról, hogy az összes releváns műveletet megcélozza.

3. ok

Ha feltételt ad hozzá egy szerepkör-hozzárendeléshez, az akár 5 percet is igénybe vehet a feltétel kényszerítéséhez. Feltétel hozzáadásakor az erőforrás-szolgáltatók (például a Microsoft Storage) értesítést kapnak a frissítésről. Az erőforrás-szolgáltatók azonnal frissítik a helyi gyorsítótáraikat, hogy a legújabb szerepkör-hozzárendelésekkel rendelkezzenek. Ez a folyamat 1 vagy 2 perc alatt fejeződik be, de akár 5 percet is igénybe vehet.

3. megoldás

Várjon 5 percet, és tesztelje újra a feltételt.

Tünet – Feltétel hozzáadásakor a feltétel érvénytelen hiba

Ha egy feltétellel rendelkező szerepkör-hozzárendelést próbál hozzáadni, a következőhöz hasonló hibaüzenet jelenik meg:

The given role assignment condition is invalid.

1. ok

A conditionVersion tulajdonság értéke "1.0".

1\. megoldás

Állítsa a conditionVersion tulajdonságot "2.0" értékre.

Ok 2

A feltétel nem megfelelően van formázva.

2\. megoldás

Javítsa ki a feltételformátummal vagy szintaxissal kapcsolatos problémákat. Másik lehetőségként adja hozzá a feltételt az Azure Portal vizualizációszerkesztőjével.

Problémák a vizualizációszerkesztőben

Hibajelenség – Az egyszerű elem nem jelenik meg az attribútumforrásban

Ha egy feltétellel rendelkező szerepkör-hozzárendelést próbál hozzáadni, az Egyszerű elem nem jelenik meg az Attribútum forráslistájában .

Ehelyett a következő üzenet jelenik meg:

To use principal (user) attributes, you must have Microsoft Entra permissions (such as the [Attribute Assignment Administrator](../active-directory/roles/permissions-reference.md#attribute-assignment-administrator) role) and custom security attributes defined in Microsoft Entra ID.

Ok

Nem felel meg az előfeltételeknek. Az egyszerű attribútumok használatához a következőkre van szükség:

• A Microsoft Entra engedélyei arra, hogy a bejelentkezett felhasználó legalább egy attribútumkészletet beolvasson
• A Microsoft Entra ID-ban definiált egyéni biztonsági attribútumok

Megoldás

1. Nyissa meg a Microsoft Entra ID>Custom biztonsági attribútumait.

   Ha megjelenik az Első lépések lap, nincs engedélye legalább egy attribútumkészlet beolvasására, vagy az egyéni biztonsági attribútumok még nincsenek meghatározva.

   

2. Ha egyéni biztonsági attribútumok vannak definiálva, rendelje hozzá az alábbi szerepkörök egyikét a bérlői hatókörhöz vagy az attribútumkészlet hatóköréhez. További információ: Egyéni biztonsági attribútumokhoz való hozzáférés kezelése a Microsoft Entra ID-ban.

   • Attribútumdefiníció-olvasó
   • Attribútum-hozzárendelés-olvasó
   • Attribútumdefiníciós Rendszergazda istrator
   • Attribútum-hozzárendelési Rendszergazda istrator

   Fontos

   Alapértelmezés szerint a globális Rendszergazda istrator és más rendszergazdai szerepkörök nem rendelkeznek egyéni biztonsági attribútumok olvasására, definiálására vagy hozzárendelésére vonatkozó engedélyekkel.

3. Ha az egyéni biztonsági attribútumok még nincsenek definiálva, rendelje hozzá az attribútumdefiníciós Rendszergazda istrator szerepkört a bérlő hatókörében, és adjon hozzá egyéni biztonsági attribútumokat. További információ: Egyéni biztonsági attribútumok hozzáadása vagy inaktiválása a Microsoft Entra-azonosítóban.

   Ha végzett, legalább egy attribútumkészletet be kell olvasnia.

   

   Az egyszerűnek most meg kell jelennie az Attribútum forráslistájában , amikor feltétellel rendelkező szerepkör-hozzárendelést ad hozzá.

Hibajelenség – Az egyszerű elem nem jelenik meg az attribútumforrásban a PIM használatakor

Amikor a Microsoft Entra Privileged Identity Management (PIM) használatával egy feltétellel próbál szerepkör-hozzárendelést hozzáadni, az Egyszerű nem jelenik meg az attribútum forráslistájában.

Ok

A PIM jelenleg nem támogatja az egyszerű attribútum használatát egy szerepkör-hozzárendelési feltételben.

Hibaüzenetek a Vizualizációszerkesztőben

Tünet – A feltétel nem ismerhető fel

A kódszerkesztő használata után váltson a vizualizációszerkesztőre, és az alábbihoz hasonló üzenetet kapjon:

The current expression cannot be recognized. Switch to the code editor to edit the expression or delete the expression and add a new one.

Ok

Frissítések arra a feltételre lettek adva, hogy a vizualizációszerkesztő nem tudja elemezni.

Megoldás

Javítsa ki a feltételformátummal vagy szintaxissal kapcsolatos problémákat. Másik lehetőségként törölheti a feltételt, és újra próbálkozhat.

Tünet – Az attribútum nem alkalmaz hibát a korábban mentett feltételnél

Ha megnyit egy korábban mentett feltételt a vizualizációszerkesztőben, a következő üzenet nyitja meg:

Attribute does not apply for the selected actions. Select a different set of actions.

Ok

2022 májusában a Blob olvasása művelet a következő formátumról módosult:

!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})

Az alműködtetés kizárása Blob.List :

!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})

Ha 2022 májusa előtt létrehozott egy feltételt a Blob olvasása művelettel, ez a hibaüzenet jelenhet meg a vizualizációszerkesztőben.

Megoldás

Nyissa meg a Művelet kiválasztása panelt , és jelölje be újra a Blob olvasása műveletet.

Tünet – Az attribútum nem alkalmaz hibát

Ha egy vagy több műveletet választ ki a vizualizációszerkesztőben egy meglévő kifejezéssel, a következő üzenet lesz látható, és a korábban kijelölt attribútum el lesz távolítva:

Attribute does not apply for the selected actions. Select a different set of actions.

Ok

A korábban kijelölt attribútum már nem vonatkozik az aktuálisan kijelölt műveletekre.

1\. megoldás

A Művelet hozzáadása szakaszban válasszon ki egy műveletet, amely a kijelölt attribútumra vonatkozik. Az egyes tárolási attribútumok által támogatott tárolási műveletek listáját az Azure Blob StorageAzure-szerepkör-hozzárendelési feltételeinek műveletei és attribútumai, valamint az Azure-üzenetsorok Azure-szerepkör-hozzárendelési feltételeinek műveletei és attribútumai című témakörben találja.

2\. megoldás

A Kifejezés összeállítása szakaszban válasszon ki egy attribútumot, amely az aktuálisan kijelölt műveletekre vonatkozik. Az egyes tárolási műveletek által támogatott tárolási attribútumok listájáért tekintse meg az Azure Blob Storage Azure-szerepkör-hozzárendelési feltételeinek műveleteit és attribútumait, valamint az Azure-üzenetsorok Azure-szerepkör-hozzárendelési feltételeinek műveleteit és attribútumait.

Hibajelenség – Az attribútum nem alkalmazható ebben a környezetben figyelmeztetésben

Amikor módosításokat hajt végre a kódszerkesztőben, majd átvált a vizualizációszerkesztőre, a következő üzenetet kapja, és a korábban kijelölt attribútum el lesz távolítva:

Attribute does not apply in this context. Use a different role assignment scope or remove the expression.

Ok

A megadott attribútum nem érhető el az aktuális hatókörben, például hierarchikus névtérrel rendelkező tárfiókban való használat Version ID .

Megoldás

Ha a jelenleg megadott attribútumot szeretné használni, hozza létre a szerepkör-hozzárendelési feltételt egy másik hatókörben, például erőforráscsoport-hatókörben. Vagy távolítsa el és hozza létre újra a kifejezést az aktuálisan kijelölt műveletekkel.

Tünet – Az attribútum nem ismerhető fel hiba

Amikor módosításokat hajt végre a kódszerkesztőben, majd átvált a vizualizációszerkesztőre, a következő üzenetet kapja, és a korábban kijelölt attribútum el lesz távolítva:

Attribute is not recognized. Select a valid attribute or remove the expression.

Ok

A megadott attribútum nem ismerhető fel, valószínűleg elírás miatt.

Megoldás

A kódszerkesztőben javítsa ki az elírást. Vagy távolítsa el a meglévő kifejezést, és a vizualizációszerkesztő használatával válasszon ki egy attribútumot.

Hibajelenség – Az attribútum értéke érvénytelen hiba

Amikor módosításokat hajt végre a kódszerkesztőben, majd átvált a vizualizációszerkesztőre, a következő üzenetet kapja, és a korábban kijelölt attribútum el lesz távolítva:

Attribute value is invalid. Select another attribute or value.

Ok

A kifejezés jobb oldala érvénytelen attribútumot vagy értéket tartalmaz.

Megoldás

A vizualizációszerkesztővel válasszon ki egy attribútumot, vagy adjon meg egy értéket.

Hibajelenség – Nincs kijelölt művelet

Amikor eltávolítja az összes műveletet a vizualizációszerkesztőben, a következő üzenetet kapja:

No actions selected. Select one or more actions to edit expressions.

Ok

Létezik egy meglévő kifejezés, de a művelet nem lett kijelölve célként.

Megoldás

A Művelet hozzáadása szakaszban adjon hozzá egy vagy több olyan műveletet, amelyet a kifejezésnek meg kell céloznia.

Hibajelenség – Nincs elérhető lehetőség hiba

Amikor egy kifejezést próbál hozzáadni, a következő üzenetet kapja:

No options available

Ok

Több művelet megcélzására van kiválasztva, és nincsenek olyan attribútumok, amelyek az összes jelenleg kijelölt műveletre vonatkoznak.

Megoldás

A Művelet hozzáadása szakaszban jelöljön ki kevesebb célműveletet. Az eltávolított műveletek megcélzásához adjon hozzá több feltételt.

Tünet – A szerepkördefiníció azonosítói nem találhatók

Amikor egy kifejezést próbál hozzáadni, a következő üzenetet kapja:

Cannot find built-in or custom role definitions with IDs: <role IDs>. These IDs were removed. Check that the IDs are valid and try to add again. You can also refresh the page or sign out and sign in again.

Ok

A szerepkördefiníció-azonosító attribútumhoz hozzáadni próbált egy vagy több szerepkördefinícióazonosító-azonosító nem található, vagy nem rendelkezik a megfelelő GUID formátummal: 00000000-0000-0000-0000-000000000000.

Megoldás

A szerepkör kiválasztásához használja a feltételszerkesztőt. Ha nemrég adta hozzá az egyéni szerepkört, frissítse a lapot, vagy jelentkezzen ki, és jelentkezzen be újra.

Tünet – Az egyszerű azonosítók nem találhatók

Amikor egy kifejezést próbál hozzáadni, a következő üzenetet kapja:

Cannot find users, groups, or service principals in Azure Active Directory with principal IDs: <principal IDs>. These IDs were removed. Check that the IDs are valid and try to add again. You can also refresh the page or sign out and sign in again.

Ok

Egy vagy több egyszerű azonosító, amelyet megpróbált hozzáadni az Egyszerű azonosító attribútumhoz, nem található, vagy nem rendelkezik a megfelelő GUID formátummal: 00000000-0000-0000-0000-000000000000.

Megoldás

A feltételszerkesztővel válassza ki az egyszerűt. Ha nemrég adta hozzá az egyszerű nevet, frissítse a lapot, vagy jelentkezzen ki, és jelentkezzen be újra.

Hibaüzenetek az Azure PowerShellben

Hibajelenség – Az erőforrásattribútum érvénytelen hiba

Amikor az Azure PowerShell használatával próbál szerepkör-hozzárendelést hozzáadni egy feltétellel, a következőhöz hasonló hibaüzenet jelenik meg:

New-AzRoleAssignment : Resource attribute
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$> is not valid.

Ok

Ha a feltétel dollárjelet ($) tartalmaz, akkor előtaggal (') kell előtaggal rendelkeznie.

Megoldás

Adjon hozzá egy backtick (') az egyes dollárjelek előtt. Az alábbiakban egy példa látható. Az idézőjelekre vonatkozó szabályokról a PowerShellben az Idéző szabályok című témakörben talál további információt.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"

Hiba – Hiba egy feltétel másolása és beillesztése során

Ok

Ha a PowerShellt használja, és egy dokumentumból másol egy feltételt, az a következő hibát okozó speciális karaktereket is tartalmazhat. Egyes szerkesztők (például a Microsoft Word) vezérlőelem-karaktereket adnak hozzá a nem megjelenő szövegek formázásához.

The given role assignment condition is invalid.

Megoldás

Ha egy rich text szerkesztőből másolt ki egy feltételt, és biztos benne, hogy a feltétel helyes, törölje az összes szóközt, majd adja vissza a megfelelő szóközöket. Másik lehetőségként használhat egyszerű szövegszerkesztőt vagy kódszerkesztőt, például Visual Studio Code-ot.

Hibaüzenetek az Azure CLI-ben

Hibajelenség – Az erőforrásattribútum érvénytelen hiba

Amikor az Azure CLI használatával próbál szerepkör-hozzárendelést hozzáadni egy feltétellel, a következőhöz hasonló hibaüzenet jelenik meg:

Resource attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$> is not valid.

Ok

Ha a feltétel dollárjelet ($) tartalmaz, akkor azt fordított perjellel (\) kell előtaggal előtaggal rögzítenie.

Megoldás

Adjon hozzá egy fordított perjelet (\) minden egyes dollárjel előtt. Az alábbiakban egy példa látható. A Bash idézőjelekre vonatkozó szabályairól további információt a Dupla idézőjelek című témakörben talál.

condition="((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<\$key_case_sensitive\$>] StringEquals 'Cascade'))"

Tünet – Ismeretlen argumentumok hibája

Amikor az Azure CLI használatával próbál szerepkör-hozzárendelést hozzáadni egy feltétellel, a következőhöz hasonló hibaüzenet jelenik meg:

az: error: unrecognized arguments: --description {description} --condition {condition} --condition-version 2.0

Ok

Valószínűleg az Azure CLI egy korábbi verzióját használja, amely nem támogatja a szerepkör-hozzárendelési feltétel paramétereit.

Megoldás

Frissítsen az Azure CLI legújabb verziójára (2.18 vagy újabb). További információ: Az Azure CLI telepítése.

Hiba – Hiba, amikor feltételsztringet rendel egy változóhoz a Bashben

Amikor egy feltételsztringet próbál hozzárendelni egy változóhoz a Bashben, megjelenik az bash: !: event not found üzenet.

Ok

A Bashben, ha az előzménybővítés engedélyezve van, előfordulhat, hogy a felkiáltójel (!) miatt jelenik meg az üzenet bash: !: event not found .

Megoldás

Az előzménybővítés letiltása a paranccsal set +H. Az előzménybővítés újbóli engedélyezéséhez használja a következőt set -H: .

Következő lépések

• Azure-beli szerepkör-hozzárendelés feltételeinek formátuma és szintaxisa
• Gyakori kérdések az Azure szerepkör-hozzárendelési feltételeiről
• Egyéni biztonsági attribútumok hibaelhárítása a Microsoft Entra-azonosítóban (előzetes verzió)