Condividi tramite


Aggiungere o modificare condizioni di assegnazione di ruolo di Azure usando il portale di Azure

Una condizione di assegnazione di ruolo di Azure è un controllo facoltativo che è possibile aggiungere all'assegnazione di ruolo per fornire un controllo di accesso più granulare. Ad esempio, è possibile aggiungere una condizione che richiede che un oggetto abbia un tag specifico per leggere l'oggetto. Questo articolo descrive come aggiungere, modificare, visualizzare o eliminare condizioni per le assegnazioni di ruolo usando il portale di Azure.

Prerequisiti

Per informazioni sui prerequisiti per aggiungere o modificare condizioni di assegnazione di ruolo, vedere Prerequisiti delle condizioni.

Passaggio 1: Determinare la condizione necessaria

Per ottenere alcune idee sulle condizioni che possono essere utili per l'utente, vedere gli esempi in Esempi di condizioni di assegnazione di ruolo di Azure per l'Archiviazione BLOB.

Attualmente, le condizioni possono essere aggiunte alle assegnazioni di ruolo predefinite o personalizzate con azioni dati di archiviazione BLOB o dati di archiviazione code. Sono inclusi i ruoli predefiniti seguenti:

Passaggio 2: Scegliere come aggiungere una condizione

Esistono due modi per aggiungere una condizione. È possibile aggiungere una condizione quando si aggiunge una nuova assegnazione di ruolo oppure è possibile aggiungere una condizione a un'assegnazione di ruolo esistente.

Nuova assegnazione del ruolo

  1. Seguire la procedura per Assegnare i ruoli di Azure usando il portale di Azure.

  2. Nella scheda Condizioni (facoltativo) fare clic su Aggiungi condizione.

    Se non viene visualizzata la scheda Condizioni (facoltativo), assicurarsi di aver selezionato un ruolo che supporti le condizioni.

    Screenshot della pagina Aggiungi assegnazione di ruolo con la scheda Aggiungi condizione.

    Verrà visualizzata la pagina Aggiungi condizione di assegnazione di ruolo.

Assegnazione di ruolo esistente

  1. Nella portale di Azure aprire Controllo di accesso (IAM) nell'ambito in cui si vuole aggiungere una condizione. Ad esempio, è possibile aprire una sottoscrizione, un gruppo di risorse o una risorsa.

    Attualmente, non è possibile usare il portale di Azure per aggiungere, visualizzare, modificare o eliminare una condizione aggiunta in un ambito del gruppo di gestione.

  2. Fare clic sulla scheda Assegnazioni di ruolo per visualizzare tutte le assegnazioni di ruolo in questo ambito.

  3. Trovare un'assegnazione di ruolo con azioni sui dati di archiviazione a cui si vuole aggiungere una condizione.

  4. Nella colonna Condizione fare clic su Aggiungi.

    Se non viene visualizzato il collegamento Aggiungi, assicurarsi di esaminare lo stesso ambito dell'assegnazione di ruolo.

    Elenco di assegnazioni di ruolo con una colonna Condizione.

    Verrà visualizzata la pagina Aggiungi condizione di assegnazione di ruolo.

Passaggio 3: Esaminare le nozioni di base

Dopo aver aperto la pagina Aggiungi condizione di assegnazione di ruolo, è possibile esaminare le nozioni di base della condizione. Role indica il ruolo a cui verrà aggiunta la condizione.

  1. Per l'opzione Tipo di editor lasciare selezionata l'opzione Oggetto visivo predefinito.

    Dopo aver aggiunto una condizione, è possibile passare da Visual a Code.

  2. (Facoltativo) Se viene visualizzata la casella Descrizione , immettere una descrizione.

    A seconda di come si è scelto di aggiungere una condizione, è possibile che la casella Descrizione non venga visualizzata. Una descrizione consente di comprendere e ricordare lo scopo della condizione.

    Pagina Aggiungi condizione di assegnazione di ruolo che mostra il tipo di editor e la descrizione.

Passaggio 4: Aggiungere azioni

  1. Nella sezione Aggiungi azione fare clic su Aggiungi azione.

    Viene visualizzato il riquadro Seleziona un'azione. Questo riquadro è un elenco filtrato di azioni di dati in base all'assegnazione di ruolo che sarà la destinazione della condizione. Per altre informazioni, vedere Formato e sintassi della condizione di assegnazione dei ruoli di Azure.

    Selezionare un riquadro azioni per condizione con un'azione selezionata.

  2. Selezionare le azioni che si desidera consentire se la condizione è true.

    Se si selezionano più azioni per una singola condizione, potrebbero esserci meno attributi tra cui scegliere per la condizione perché gli attributi devono essere disponibili tra le azioni selezionate.

  3. Fare clic su Seleziona.

    Le azioni selezionate vengono visualizzate nell'elenco di azioni.

Passaggio 5: Creare espressioni

  1. Nella sezione Espressione di compilazione fare clic su Aggiungi espressione.

    La sezione Espressioni si espande.

  2. Nell'elenco Origine attributo selezionare la posizione in cui è possibile trovare l'attributo.

    • Environment indica che l'attributo è associato all'ambiente di rete a cui si accede alla risorsa, ad esempio un collegamento privato o la data e l'ora correnti.
    • La risorsa indica che l'attributo si trova nella risorsa, ad esempio il nome del contenitore.
    • Request indica che l'attributo fa parte della richiesta di azione, ad esempio l'impostazione del tag di indice BLOB.
    • Principal indica che l'attributo è un'entità attributo di sicurezza personalizzata di Microsoft Entra, ad esempio un utente, un'applicazione aziendale (entità servizio) o un'identità gestita.
  3. Nell'elenco Attributo selezionare un attributo per il lato sinistro dell'espressione.

    Per altre informazioni sulle origini degli attributi supportate e sui singoli attributi, vedere Attributi.

    A seconda dell'attributo selezionato, è possibile aggiungere caselle per specificare altri dettagli o operatori dell'attributo. Ad esempio, alcuni attributi supportano l'operatore di funzione Exists, che è possibile usare per verificare se l'attributo è attualmente associato alla risorsa, ad esempio un ambito di crittografia.

  4. Nell'elenco Operatore selezionare un operatore.

    Per altre informazioni, vedere Formato e sintassi della condizione di assegnazione dei ruoli di Azure.

  5. Nella casella Valore immettere un valore per il lato destro dell'espressione.

    Sezione Di compilazione dell'espressione con valori per i tag di indice BLOB.

  6. Aggiungere altre espressioni in base alle esigenze.

    Se si aggiungono tre o più espressioni, potrebbe essere necessario raggrupparle tra parentesi in modo che gli operatori logici di connessione vengano valutati correttamente. Aggiungere segni di spunta accanto alle espressioni da raggruppare e quindi selezionare Gruppo. Per rimuovere il raggruppamento, selezionare Separa.

    Creare la sezione dell'espressione con più espressioni da raggruppare.

Passaggio 6: Esaminare e aggiungere una condizione

  1. Scorrere verso l'alto fino al tipo di editor e fare clic su Codice.

    La condizione viene visualizzata come codice. È possibile apportare modifiche alla condizione in questo editor di codice. L'editor di codice può essere utile per incollare il codice di esempio o per aggiungere più operatori o logica per creare condizioni più complesse. Per tornare all'editor visivo, fare clic su Oggetto visivo.

    Condizione visualizzata nell'editor di codice con azioni selezionate e espressione aggiunta.

  2. Fare clic su Salva per aggiungere la condizione all'assegnazione di ruolo.

Visualizzare, modificare o eliminare una condizione

  1. Nella portale di Azure aprire Controllo di accesso (IAM) per l'assegnazione di ruolo con una condizione che si desidera visualizzare, modificare o eliminare.

  2. Fare clic sulla scheda Assegnazioni di ruolo e trovare l'assegnazione di ruolo.

  3. Nella colonna Condizione fare clic su Visualizza/Modifica.

    Se non viene visualizzato il collegamento Visualizza/Modifica, assicurarsi di esaminare lo stesso ambito dell'assegnazione di ruolo.

    Elenco di assegnazioni di ruolo con collegamento Visualizza/Modifica per la condizione.

    Verrà visualizzata la pagina Aggiungi condizione di assegnazione di ruolo.

  4. Utilizzare l'editor per visualizzare o modificare la condizione.

    Condizione visualizzata nell'editor dopo aver fatto clic sul collegamento Visualizza/Modifica.

  5. Al termine fare clic su Salva. Per eliminare l'intera condizione, fare clic su Elimina condizione. L'eliminazione della condizione non comporta la rimozione dell'assegnazione di ruolo.

Passaggi successivi