Adicionar ou editar condições de atribuição de função do Azure usando o portal do Azure

Uma condição de atribuição de função do Azure é uma verificação opcional que você pode adicionar à sua atribuição de função para fornecer um controle de acesso mais refinado. Por exemplo, você pode adicionar uma condição que exija que um objeto tenha uma tag específica para ler o objeto. Este artigo descreve como adicionar, editar, exibir ou excluir condições para suas atribuições de função usando o portal do Azure.

Pré-requisitos

Para obter informações sobre os pré-requisitos para adicionar ou editar condições de atribuição de função, consulte Pré-requisitos de condições.

Etapa 1: Determine a condição que você precisa

Para obter algumas ideias sobre condições que podem ser úteis para você, examine os exemplos em Exemplo de condições de atribuição de função do Azure para Armazenamento de Blob.

Atualmente, as condições podem ser adicionadas a atribuições de função internas ou personalizadas que tenham ações de dados de armazenamento de blob ou ações de dados de armazenamento de fila. Estes incluem as seguintes funções incorporadas:

• Contribuinte de Dados do Armazenamento de Blobs
• Proprietário dos Dados do Armazenamento de Blobs
• Leitor de Dados do Armazenamento de Blobs
• Contribuidor de dados da fila de armazenamento
• Processador de mensagens de dados da fila de armazenamento
• Remetente da mensagem de dados da fila de armazenamento
• Leitor de dados da fila de armazenamento

Etapa 2: escolha como adicionar condição

Há duas maneiras de adicionar uma condição. Você pode adicionar uma condição ao adicionar uma nova atribuição de função ou pode adicionar uma condição a uma atribuição de função existente.

Nova atribuição de função

1. Siga as etapas para Atribuir funções do Azure usando o portal do Azure.

2. Na guia Condições (opcional), clique em Adicionar condição.

   Se não vir o separador Condições (opcional), certifique-se de que selecionou uma função que suporte condições.

   

   A página Adicionar condição de atribuição de função é exibida.

Atribuição de função existente

1. No portal do Azure, abra o controle de acesso (IAM) no escopo em que você deseja adicionar uma condição. Por exemplo, você pode abrir uma assinatura, um grupo de recursos ou um recurso.

   Atualmente, você não pode usar o portal do Azure para adicionar, exibir, editar ou excluir uma adição de condição em um escopo de grupo de gerenciamento.

2. Clique na guia Atribuições de função para exibir todas as atribuições de função neste escopo.

3. Encontre uma atribuição de função que tenha ações de dados de armazenamento às quais você deseja adicionar uma condição.

4. Na coluna Condição, clique em Adicionar.

   Se não vir a ligação Adicionar, certifique-se de que está a ver o mesmo âmbito da atribuição de função.

   

   A página Adicionar condição de atribuição de função é exibida.

Etapa 3: revisar as noções básicas

Depois de abrir a página Adicionar condição de atribuição de função, você pode revisar as noções básicas da condição. Role indica a função à qual a condição será adicionada.

1. Para a opção Tipo de editor, deixe o Visual padrão selecionado.

   Depois de adicionar uma condição, você pode alternar entre Visual e Código.

2. (Opcional) Se a caixa Descrição for exibida, insira uma descrição.

   Dependendo de como você escolheu adicionar uma condição, talvez você não veja a caixa Descrição. Uma descrição pode ajudá-lo a entender e lembrar o propósito da condição.

   

Etapa 4: adicionar ações

1. Na seção Adicionar ação, clique em Adicionar ação.

   O painel Selecione uma ação é exibido. Este painel é uma lista filtrada de ações de dados com base na atribuição de função que será o destino da sua condição. Para obter mais informações, consulte Formato e sintaxe da condição de atribuição de função do Azure.

   

2. Selecione as ações que deseja permitir se a condição for verdadeira.

   Se você selecionar várias ações para uma única condição, pode haver menos atributos para escolher para sua condição, porque os atributos devem estar disponíveis nas ações selecionadas.

3. Clique em Selecionar.

   As ações selecionadas aparecem na lista de ações.

Etapa 5: Criar expressões

1. Na seção Criar expressão, clique em Adicionar expressão.

   A seção Expressões é expandida.

2. Na lista Origem do atributo, selecione onde o atributo pode ser encontrado.

   • Ambiente indica que o atributo está associado ao ambiente de rede pelo qual o recurso é acessado, como um link privado ou a data e hora atuais.
   • Resource indica que o atributo está no recurso, como o nome do contêiner.
   • Request indica que o atributo faz parte da solicitação de ação, como definir a tag de índice de blob.
   • Principal indica que o atributo é uma entidade de atributo de segurança personalizada do Microsoft Entra, como um usuário, aplicativo empresarial (entidade de serviço) ou identidade gerenciada.

3. Na lista Atributo, selecione um atributo para o lado esquerdo da expressão.

   Para obter mais informações sobre fontes de atributos suportados e atributos individuais, consulte Atributos.

   Dependendo do atributo selecionado, caixas podem ser adicionadas para especificar detalhes ou operadores adicionais do atributo. Por exemplo, alguns atributos suportam o operador de função Exists, que você pode usar para testar se o atributo está atualmente associado ao recurso, como um escopo de criptografia.

4. Na lista Operador, selecione um operador.

   Para obter mais informações, consulte Formato e sintaxe da condição de atribuição de função do Azure.

5. Na caixa Valor, insira um valor para o lado direito da expressão.

   

6. Adicione mais expressões conforme necessário.

   Se você adicionar três ou mais expressões, talvez seja necessário agrupá-las entre parênteses para que os operadores lógicos de conexão sejam avaliados corretamente. Adicione marcas de verificação junto às expressões que pretende agrupar e, em seguida, selecione Grupo. Para remover o agrupamento, selecione Desagrupar.

   

Passo 6: Rever e adicionar condição

1. Role para cima até Tipo de editor e clique em Código.

   A condição é exibida como código. Você pode fazer alterações na condição neste editor de códigos. O editor de código pode ser útil para colar código de exemplo ou para adicionar mais operadores ou lógica para criar condições mais complexas. Para voltar ao editor visual, clique em Visual.

   

2. Clique em Salvar para adicionar a condição à atribuição de função.

Exibir, editar ou excluir uma condição

1. No portal do Azure, abra o controle de acesso (IAM) para a atribuição de função que tem uma condição que você deseja exibir, editar ou excluir.

2. Clique na guia Atribuições de função e localize a atribuição de função.

3. Na coluna Condição, clique em Exibir/Editar.

   Se não vir a ligação Ver/Editar, certifique-se de que está a ver o mesmo âmbito da atribuição de função.

   

   A página Adicionar condição de atribuição de função é exibida.

4. Use o editor para visualizar ou editar a condição.

   

5. Quando terminar, clique em Guardar. Para excluir toda a condição, clique em Excluir condição. A exclusão da condição não remove a atribuição de função.

Próximos passos

• Exemplo de condições de atribuição de função do Azure para Armazenamento de Blob
• Tutorial: Adicionar uma condição de atribuição de função para restringir o acesso a blobs usando o portal do Azure
• Solucionar problemas de condições de atribuição de função do Azure