Perguntas frequentes sobre as condições de atribuição de função do Azure
Perguntas frequentes
Você pode escolher os nomes de contêiner de armazenamento ou o caminho de blob no construtor de condições ABAC visual no portal do Azure?
Você deve gravar o nome do contêiner de armazenamento, o caminho do blob, o nome da marca ou os valores na condição. Não há experiência de separação para os valores de atributo.
Você pode verificar a existência de um atributo de uma condição?
Você pode usar o Exists operador com qualquer atributo ABAC, mas ele só tem suporte no construtor de condições ABAC visual para alguns deles. Você pode adicionar o operador a qualquer atributo usando outras ferramentas, como o PowerShell, a CLI do Azure, a API REST e o Exists editor de código de condição no portal do Azure. Para obter uma lista de atributos para os quais ele é suportado no construtor de condição visual, consulte o operador de função Exist. Para adicionar o operador exists a um atributo ao criar uma expressão em uma condição, selecione a origem e o atributo com suporte e, em seguida, selecione a caixa ao lado de Existe abaixo dele. Consulte Criar expressões no portal para obter mais detalhes.
É possível agrupar expressões?
Se você adicionar três ou mais expressões para uma ação de destino, deverá definir o agrupamento lógico dessas expressões no editor de código, no Azure PowerShell ou no CLI do Azure. Um agrupamento lógico de a AND b OR c pode ser (a AND b) OR c ou a AND (b OR c ).
Há suporte para condições por meio do Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) para recursos do Azure?
Sim, para funções específicas. Para obter mais informações, confira Atribuir funções de recursos do Azure no Privileged Identity Management.
As condições têm suporte para administradores clássicos?
Não.
É possível adicionar condições a atribuições de função personalizadas?
Sim, desde que a função personalizada inclua ações que ofereçam suporte a condições.
As condições aumentam a latência de acesso aos blobs de armazenamento?
Não, com base em nossos testes de parâmetro de comparação, não se espera que as condições adicionem latência perceptível pelo usuário.
Quais novas propriedades foram introduzidas no esquema de atribuição de função para dar suporte às condições?
Estas são as novas propriedades de condição:
condition: instrução de condição criada usando uma ou mais ações de definição de função e atributos.conditionVersion: um número de versão da condição. O padrão é 2.0 e é a única versão com suporte público.
Também há uma nova propriedade de descrição para atribuições de função:
description: a descrição da atribuição de função que pode ser usada para descrever a condição.
Uma condição é aplicada a toda a atribuição de função ou a ações específicas?
Uma condição só é aplicada às ações direcionadas específicas.
Quais são os limites de uma condição?
Uma condição pode ter até 8 KB de comprimento.
Quais são os limites de uma descrição?
Uma descrição pode ter até 2 KB de comprimento.
É possível criar uma atribuição de função com e sem uma condição, mas usando a mesma tupla de entidade de segurança, definição de função e escopo?
Não, se você tentar criar essa atribuição de função, um erro será exibido.
As condições nas atribuições de função oferecem um efeito de negação explícito?
Não, as condições nas atribuições de função não têm um efeito de negação explícito. As condições nas atribuições de função filtram o acesso concedido em uma atribuição de função, o que pode resultar em acesso não permitido. O efeito de negação explícita faz parte das atribuições de negação.