共用方式為

使用 Azure 入口網站 新增或編輯 Azure 角色指派條件

  • 發行項

Azure 角色指派條件是選擇性的檢查,可讓您新增至角色指派,以提供更精細的訪問控制。 例如,您可以新增需要物件具有特定標記才能讀取物件的條件。 本文說明如何使用 Azure 入口網站,為您的角色指派新增、編輯、檢視或刪除條件。

必要條件

如需新增或編輯角色指派條件的必要條件相關資訊,請參閱條件必要要件

步驟 1:判斷您需要的條件

若要取得一些可能對您有用的條件的想法,請檢閱 Blob 儲存體 範例 Azure 角色指派條件中的範例。

目前,條件可以新增至具有 Blob 記憶體數據動作或佇列記憶體數據動作的內建或自定義角色指派。 其中包括下列內建角色:

步驟 2:選擇如何新增條件

有兩種方式可以新增條件。 您可以在新增角色指派時新增條件,或將條件新增至現有的角色指派。

新角色指派

  1. 請遵循使用 Azure 入口網站 指派 Azure 角色的步驟。

  2. 在 [ 條件] [選擇性] 索引標籤上 ,按兩下 [ 新增條件]。

    如果您沒有看到 [條件] 索引標籤 (選擇性) 索引卷標,請確定您選取了支持條件的角色。

    [新增角色指派] 頁面的螢幕快照,其中 [新增條件] 索引標籤。

    [新增角色指派條件] 頁面隨即出現。

現有的角色指派

  1. 在 Azure 入口網站 中,在您想要新增條件的範圍開啟訪問控制 (IAM)。 例如,您可以開啟訂用帳戶、資源群組或資源。

    目前,您無法使用 Azure 入口網站 在管理群組範圍新增、檢視、編輯或刪除條件。

  2. 按兩下 [ 角色指派] 索引 標籤,以檢視此範圍的所有角色指派。

  3. 尋找具有您要新增條件之記憶體數據動作的角色指派。

  4. 在 [條件] 數據行中,按兩下 [新增]。

    如果您沒有看到 [新增] 連結,請務必查看與角色指派相同的範圍。

    具有條件數據行的角色指派清單。

    [新增角色指派條件] 頁面隨即出現。

步驟 3:檢閱基本概念

開啟 [新增角色指派條件] 頁面之後,您就可以檢閱條件的基本概念。 角色 指出將新增條件的角色。

  1. 針對 [ 編輯器類型] 選項,保留預設 的 [視覺效果 ]。

    新增條件之後,您可以在 Visual 和 Code 之間切換。

  2. (選擇性)如果出現 [ 描述] 方塊,請輸入描述。

    視您選擇新增條件的方式而定,您可能看不到 [描述] 方塊。 描述可協助您了解並記住條件的用途。

    新增角色指派條件頁面,其中顯示編輯器類型和描述。

步驟 4:新增動作

  1. 在 [ 新增動作] 區段中,按兩下 [ 新增動作]。

    即會出現 [選取動作] 窗格。 此窗格顯示根據作為條件目標的角色指派,篩選出的資料動作清單。 如需詳細資訊,請參閱 Azure 角色指派條件格式和語法

    針對已選取動作的條件選取動作窗格。

  2. 選取您想要在條件為 true 時允許的動作。

    如果您針對單一條件選取多個動作,可能會因為屬性必須可在所有選取的動作上使用,因而使能為條件選擇的屬性變少。

  3. 按一下 [選取]。

    選取的動作會出現在動作清單中。

步驟 5:建置運算式

  1. 在 [ 建置表達式] 區段中,按兩下 [ 新增表達式]。

    [表達式] 區段會展開。

  2. 在 [ 屬性來源 ] 清單中,選取可找到屬性的位置。

    • 環境 表示屬性與存取資源的網路環境相關聯,例如私人連結,或目前日期和時間。
    • 資源 指出屬性位於資源上,例如容器名稱。
    • 要求 表示屬性是動作要求的一部分,例如設定 Blob 索引標記。
    • 主體 表示屬性是 Microsoft Entra 自定義安全性屬性主體,例如使用者、企業應用程式(服務主體)或受控識別。

  3. 在 [ 屬性 ] 清單中,選取表達式左側的屬性。

    如需支持的屬性來源和個別屬性的詳細資訊,請參閱 屬性

    視您選取的屬性而定,可能會新增方塊來指定其他屬性詳細數據或運算符。 例如,某些屬性支援 Exists 函式運算子,可用來測試屬性目前是否與加密範圍等資源相關聯。

  4. 在 [ 操作員] 列表中,選取運算符。

    如需詳細資訊,請參閱 Azure 角色指派條件格式和語法

  5. 在 [ 值] 方塊中,輸入表達式右側的值。

    使用 Blob 索引標籤的值建置運算式區段。

  6. 視需要新增更多表達式。

    如果您新增三個或多個運算式,您可能需要使用括號將它們分組,以便正確評估連接邏輯運算符。 在您要群組的表達式旁邊新增複選標記,然後選取 [ 群組]。 若要移除群組,請選取 [取消群組]。

    建置表達式區段,其中包含要分組的多個表達式。

步驟 6:檢閱和新增條件

  1. 向上捲動至 [編輯器] 類型 ,然後按兩下 [ 程序代碼]。

    此條件會顯示為程式碼。 您可以在這個程式碼編輯器中變更條件。 程式代碼編輯器可用於貼上範例程式代碼,或新增更多運算符或邏輯來建置更複雜的條件。 若要返回可視化編輯器,請按兩下 [ 視覺效果]。

    在程式代碼編輯器中顯示的條件,其中包含選取的動作和新增的運算式。

  2. 按兩下 [ 儲存 ] 將條件新增至角色指派。

檢視、編輯或刪除條件

  1. 在 Azure 入口網站 中,開啟角色指派的訪問控制 (IAM),該角色指派具有您想要檢視、編輯或刪除的條件。

  2. 按兩下 [ 角色指派] 索引 標籤,並尋找角色指派。

  3. 在 [條件] 數據行中,按兩下 [檢視/編輯]。

    如果您沒有看到 [檢視/編輯] 連結,請務必查看與角色指派相同的範圍。

    具有條件檢視/編輯連結的角色指派清單。

    [新增角色指派條件] 頁面隨即出現。

  4. 使用編輯器來檢視或編輯條件。

    按兩下 [檢視/編輯] 鏈接之後,在編輯器中顯示的條件。

  5. 完成時,按一下 [儲存]。 若要刪除整個條件,請按兩下 [ 刪除條件]。 刪除條件並不會移除角色指派。

下一步