Azure 角色指派條件的常見問題
常見問題集
您可以在Azure 入口網站的視覺化 ABAC 條件產生器中挑選儲存體容器名稱或 Blob 路徑嗎?
您必須在條件中寫入儲存體容器名稱、Blob 路徑、標籤名稱或值。 屬性值沒有挑選體驗。
您是否可以從條件中檢查屬性是否存在?
您可以搭配任何 ABAC 屬性使用 Exists 運算子,但只有其中一些的 VISUAL ABAC 條件產生器才支援它。 您可以使用 PowerShell 、Azure CLI 、 REST API 和Azure 入口網站中的條件程式碼編輯器, 將運算子新增 Exists 至任何屬性。 如需視覺化條件產生器中支援的屬性清單,請參閱 Exists 函式運算子 。 若要在條件中建置運算式時,將 exists 運算子新增至屬性,請選取支援的來源和屬性,然後選取其下 [Exists ] 旁 的方塊。 如需詳細資訊,請參閱 入口網站中的 建置運算式。
您可以群組運算式嗎?
如果您為目標動作新增三個或多個運算式,則必須在程式碼編輯器、Azure PowerShell 或 Azure CLI 中定義這些運算式的邏輯群組。 的 a AND b OR c 邏輯群組可以是 (a AND b) OR c 或 a AND (b OR c ) 。
Azure 資源的 Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) 是否支援條件?
是,適用于特定角色。 如需詳細資訊,請參閱 在 Privileged Identity Management 中指派 Azure 資源角色。
傳統系統管理員是否支援條件?
否。
您可以將條件新增至自訂角色指派嗎?
是,只要自訂角色包含 支援條件 的動作。
條件會增加儲存體 Blob 存取的延遲嗎?
否,根據我們的基準測試,預期條件不會新增任何使用者可察覺的延遲。
角色指派架構中引進了哪些新屬性以支援條件?
以下是新的條件屬性:
condition:使用角色定義和屬性的一或多個動作所建置的條件陳述式。conditionVersion:條件版本號碼。 預設為 2.0,且是唯一公開支援的版本。
角色指派也有新的描述屬性:
description:可用來描述條件的角色指派描述。
條件是否套用至整個角色指派或特定動作?
條件只會套用至特定的目標動作。
條件的限制為何?
條件長度最多可達 8 KB。
描述的限制為何?
描述長度最多可達 2 KB。
是否可以使用和不使用條件來建立角色指派,但使用安全性主體、角色定義和範圍的相同 Tuple?
否,如果您嘗試建立此角色指派,就會顯示錯誤。
角色指派中的條件是否提供明確的拒絕效果?
否,角色指派中的條件沒有明確的拒絕效果。 角色指派中的條件會篩選掉角色指派中授與的存取權,這可能會導致不允許存取。 明確拒絕效果是拒絕指派的一部分。