Aggiungere o modificare condizioni di assegnazione di ruolo di Azure usando il portale di Azure
Una condizione di assegnazione di ruolo di Azure è un controllo facoltativo che è possibile aggiungere all'assegnazione di ruolo per fornire un controllo di accesso più granulare. Ad esempio, è possibile aggiungere una condizione che richiede che un oggetto abbia un tag specifico per leggere l'oggetto. Questo articolo descrive come aggiungere, modificare, visualizzare o eliminare condizioni per le assegnazioni di ruolo usando il portale di Azure.
Prerequisiti
Per informazioni sui prerequisiti per aggiungere o modificare condizioni di assegnazione di ruolo, vedere Prerequisiti delle condizioni.
Passaggio 1: Determinare la condizione necessaria
Per ottenere alcune idee sulle condizioni che possono essere utili per l'utente, vedere gli esempi in Esempi di condizioni di assegnazione di ruolo di Azure per l'Archiviazione BLOB.
Attualmente, le condizioni possono essere aggiunte alle assegnazioni di ruolo predefinite o personalizzate con azioni dati di archiviazione BLOB o dati di archiviazione code. Sono inclusi i ruoli predefiniti seguenti:
- Collaboratore ai dati del BLOB di archiviazione
- Proprietario dei dati del BLOB di archiviazione
- Lettore dei dati del BLOB di archiviazione
- Collaboratore ai dati della coda di archiviazione
- Ruolo con autorizzazioni di elaborazione per i messaggi sui dati della coda di archiviazione
- Mittente dei messaggi sui dati della coda di archiviazione
- Ruolo con autorizzazioni di lettura per i dati della coda di archiviazione
Passaggio 2: Scegliere come aggiungere una condizione
Esistono due modi per aggiungere una condizione. È possibile aggiungere una condizione quando si aggiunge una nuova assegnazione di ruolo oppure è possibile aggiungere una condizione a un'assegnazione di ruolo esistente.
Nuova assegnazione del ruolo
Seguire la procedura per Assegnare i ruoli di Azure usando il portale di Azure.
Nella scheda Condizioni (facoltativo) fare clic su Aggiungi condizione.
Se non viene visualizzata la scheda Condizioni (facoltativo), assicurarsi di aver selezionato un ruolo che supporti le condizioni.
Verrà visualizzata la pagina Aggiungi condizione di assegnazione di ruolo.
Assegnazione di ruolo esistente
Nella portale di Azure aprire Controllo di accesso (IAM) nell'ambito in cui si vuole aggiungere una condizione. Ad esempio, è possibile aprire una sottoscrizione, un gruppo di risorse o una risorsa.
Attualmente, non è possibile usare il portale di Azure per aggiungere, visualizzare, modificare o eliminare una condizione aggiunta in un ambito del gruppo di gestione.
Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.
Trovare un'assegnazione di ruolo con azioni sui dati di archiviazione a cui si vuole aggiungere una condizione.
Nella colonna Condizione fare clic su Aggiungi.
Se non viene visualizzato il collegamento Aggiungi, assicurarsi di esaminare lo stesso ambito dell'assegnazione di ruolo.
Verrà visualizzata la pagina Aggiungi condizione di assegnazione di ruolo.
Passaggio 3: Esaminare le nozioni di base
Dopo aver aperto la pagina Aggiungi condizione di assegnazione di ruolo, è possibile esaminare le nozioni di base della condizione. Role indica il ruolo a cui verrà aggiunta la condizione.
Per l'opzione Tipo di editor lasciare selezionata l'opzione Oggetto visivo predefinito.
Dopo aver aggiunto una condizione, è possibile passare da Visual a Code.
(Facoltativo) Se viene visualizzata la casella Descrizione , immettere una descrizione.
A seconda di come si è scelto di aggiungere una condizione, è possibile che la casella Descrizione non venga visualizzata. Una descrizione consente di comprendere e ricordare lo scopo della condizione.
Passaggio 4: Aggiungere azioni
Nella sezione Aggiungi azione fare clic su Aggiungi azione.
Viene visualizzato il riquadro Seleziona un'azione. Questo riquadro è un elenco filtrato di azioni di dati in base all'assegnazione di ruolo che sarà la destinazione della condizione. Per altre informazioni, vedere Formato e sintassi della condizione di assegnazione dei ruoli di Azure.
Selezionare le azioni che si desidera consentire se la condizione è true.
Se si selezionano più azioni per una singola condizione, potrebbero esserci meno attributi tra cui scegliere per la condizione perché gli attributi devono essere disponibili tra le azioni selezionate.
Fare clic su Seleziona.
Le azioni selezionate vengono visualizzate nell'elenco di azioni.
Passaggio 5: Creare espressioni
Nella sezione Espressione di compilazione fare clic su Aggiungi espressione.
La sezione Espressioni si espande.
Nell'elenco Origine attributo selezionare la posizione in cui è possibile trovare l'attributo.
- Environment indica che l'attributo è associato all'ambiente di rete a cui si accede alla risorsa, ad esempio un collegamento privato o la data e l'ora correnti.
- La risorsa indica che l'attributo si trova nella risorsa, ad esempio il nome del contenitore.
- Request indica che l'attributo fa parte della richiesta di azione, ad esempio l'impostazione del tag di indice BLOB.
- Principal indica che l'attributo è un'entità attributo di sicurezza personalizzata di Microsoft Entra, ad esempio un utente, un'applicazione aziendale (entità servizio) o un'identità gestita.
Nell'elenco Attributo selezionare un attributo per il lato sinistro dell'espressione.
Per altre informazioni sulle origini degli attributi supportate e sui singoli attributi, vedere Attributi.
A seconda dell'attributo selezionato, è possibile aggiungere caselle per specificare altri dettagli o operatori dell'attributo. Ad esempio, alcuni attributi supportano l'operatore di funzione Exists, che è possibile usare per verificare se l'attributo è attualmente associato alla risorsa, ad esempio un ambito di crittografia.
Nell'elenco Operatore selezionare un operatore.
Per altre informazioni, vedere Formato e sintassi della condizione di assegnazione dei ruoli di Azure.
Nella casella Valore immettere un valore per il lato destro dell'espressione.
Aggiungere altre espressioni in base alle esigenze.
Se si aggiungono tre o più espressioni, potrebbe essere necessario raggrupparle tra parentesi in modo che gli operatori logici di connessione vengano valutati correttamente. Aggiungere segni di spunta accanto alle espressioni da raggruppare e quindi selezionare Gruppo. Per rimuovere il raggruppamento, selezionare Separa.
Passaggio 6: Esaminare e aggiungere una condizione
Scorrere verso l'alto fino al tipo di editor e fare clic su Codice.
La condizione viene visualizzata come codice. È possibile apportare modifiche alla condizione in questo editor di codice. L'editor di codice può essere utile per incollare il codice di esempio o per aggiungere più operatori o logica per creare condizioni più complesse. Per tornare all'editor visivo, fare clic su Oggetto visivo.
Fare clic su Salva per aggiungere la condizione all'assegnazione di ruolo.
Visualizzare, modificare o eliminare una condizione
Nella portale di Azure aprire Controllo di accesso (IAM) per l'assegnazione di ruolo con una condizione che si desidera visualizzare, modificare o eliminare.
Fare clic sulla scheda Assegnazioni di ruolo e trovare l'assegnazione di ruolo.
Nella colonna Condizione fare clic su Visualizza/Modifica.
Se non viene visualizzato il collegamento Visualizza/Modifica, assicurarsi di esaminare lo stesso ambito dell'assegnazione di ruolo.
Verrà visualizzata la pagina Aggiungi condizione di assegnazione di ruolo.
Utilizzare l'editor per visualizzare o modificare la condizione.
Al termine fare clic su Salva. Per eliminare l'intera condizione, fare clic su Elimina condizione. L'eliminazione della condizione non comporta la rimozione dell'assegnazione di ruolo.