使用 Azure 入口網站來新增或編輯 Azure 角色指派條件

Azure 角色指派條件是額外的檢查，您可以選擇性地將其新增至您的角色指派，以提供更精細的存取控制。例如，您可以新增需要物件具有特定標記才能讀取物件的條件。本文說明如何使用 Azure 入口網站來新增、編輯、檢視或刪除角色指派條件。

先決條件

如需新增或編輯角色指派條件的必要條件相關資訊，請參閱條件先決要件。

若要判斷您需要的條件，請檢閱 Blob 儲存體的範例 Azure 角色指派條件中的範例。

目前，您可以將條件新增至具有 Blob 儲存體資料動作或佇列儲存體資料動作的內建或自訂角色指派。其中包括下列內建角色：

新增條件的方式有兩種。您可以在新增角色指派時新增條件，也可以將條件新增至現有的角色指派。

按照以下步驟使用 Azure 入口網站指派 Azure 角色。
在 [條件 (選用)] 索引標籤中，按一下 [新增條件]。

如果您沒有看到 [條件] (選用) 索引標籤，請務必選取支援條件的角色。

即會出現 [新增角色指派條件] 頁面。

在Azure 入口網站中，在您要新增條件的範圍開啟存取控制 (IAM)。例如，您可以開啟訂閱、資源群組或資源。

目前，您無法使用 Azure 入口網站在管理群組範圍新增、檢視、編輯或刪除條件。
按一下 [角色指派] 索引標籤以檢視此範圍中的所有角色指派。
尋找具有您要新增條件之儲存體資料動作的角色指派。
在 [條件] 資料行中，按一下 [新增]。

如果您沒有看到 [新增] 連結，請務必查看與角色指派相同的範圍。

即會出現 [新增角色指派條件] 頁面。

開啟 [新增角色指派條件] 頁面之後，就可以檢閱條件的基本概念。角色表示將新增條件的角色。

在 [新增動作] 區段中，按一下 [新增動作]。

即會出現 [選取動作] 窗格。此窗格顯示根據作為條件目標的角色指派，篩選出的資料動作清單。如需詳細資訊，請參閱 Azure 角色指派條件格式和語法。
選取條件為 true 時要允許的動作。

如果您針對單一條件選取多個動作，可能會因為屬性必須可在所有選取的動作上使用，因而使能為條件選擇的屬性變少。
按一下 [選取]。

選取的動作會出現在動作清單中。

在 [建立運算式] 區段中，按一下 [新增運算式]。

[運算式] 區段即會展開。
在 [屬性來源] 清單中，選取可找到屬性的位置。
- [資源] 指出屬性位於資源上，例如容器名稱。
- [要求] 指出屬性是動作要求的一部分，例如設定 Blob 索引標籤。
- [主體] 指出屬性是 Azure AD 自訂安全性屬性主體，例如使用者、企業應用程式 (服務主體) 或受控識別。
在 [屬性] 清單中，選取運算式左側的屬性。

視您選取的屬性而定，可能會新增方塊來指定其他屬性詳細資料。如需詳細資訊，請參閱屬性。
在 [運算子] 清單中，選取運鑽子。

如需詳細資訊，請參閱 Azure 角色指派條件格式和語法。
在 [值] 方塊中，輸入運算式右側的值。
如有必要，也可新增其他運算式。

如果您新增三個以上的運算式，您可能需要使用括弧分組。在您要組成群組的運算式旁新增核取記號，然後按一下 [群組]。若要移除群組，請按一下 [取消群組]。

向上捲動至 [編輯器類型]，然後按一下 [程式碼]。

此條件會顯示為程式碼。您可以在這個程式碼編輯器中變更條件。若要回到視覺化編輯器，請按一下 [視覺效果]。
按一下 [儲存]，將條件新增至角色指派。

在 Azure 入口網站中，針對您想要檢視、編輯或刪除條件的角色指派，開啟 [存取控制 (IAM)]。
按一下 [角色指派] 索引標籤，找出角色指派。
在 [條件] 資料行中，按一下 [檢視/編輯]。

如果您沒有看到 [檢視/編輯] 連結，請務必查看與角色指派相同的範圍。

即會出現 [新增角色指派條件] 頁面。
使用編輯器來檢視或編輯條件。
完成時，按一下 [儲存]。若要刪除整個條件，請按一下 [刪除條件]。刪除條件並不會移除角色指派。