Azure 角色指派條件常見問題
常見問題集
您可以在視覺效果 ABAC 條件產生器中挑選 Azure 入口網站 中的記憶體容器名稱或 Blob 路徑嗎?
您必須在條件中寫入記憶體容器名稱、Blob 路徑、標籤名稱或值。 屬性值沒有挑選體驗。
您是否可以從條件中檢查屬性是否存在?
您可以搭配任何 ABAC 屬性使用 Exists 運算子,但只有其中一些的 VISUAL ABAC 條件產生器才支援它。 您可以使用其他工具來將 Exists 運算子新增至任何屬性,例如 PowerShell、Azure CLI、REST API,以及 Azure 入口網站中的條件程式碼編輯器。 如需可視化條件產生器中支援的屬性清單,請參閱 Exists 函式運算符。 若要在條件中建置表達式時,將exists運算元新增至屬性,請選取支援的來源和屬性,然後選取其下[Exists] 旁的方塊。 如需詳細資訊,請參閱 入口網站中的 建置運算式。
您可以群組表達式嗎?
如果您為目標動作新增三個或多個表達式,則必須在程式代碼編輯器、Azure PowerShell 或 Azure CLI 中定義這些表達式的邏輯群組。 的 a AND b OR c 邏輯群組可以是 (a AND b) OR c 或 a AND (b OR c )。
透過 Azure 資源的 Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) 支援條件嗎?
是,適用於特定角色。 如需詳細資訊,請參閱 在 Privileged Identity Management 中指派 Azure 資源角色。
傳統系統管理員是否支持條件?
否。
您可以將條件新增至自定義角色指派嗎?
是,只要自定義角色包含 支援條件的動作。
條件會增加記憶體 Blob 存取的延遲嗎?
否,根據我們的基準檢驗,預期條件不會新增任何使用者可察覺的延遲。
角色指派架構中引進了哪些新屬性以支持條件?
以下是新的條件屬性:
condition:使用角色定義和屬性的一或多個動作所建置的條件語句。conditionVersion:條件版本號碼。 默認為 2.0,且是唯一公開支援的版本。
角色指派也有新的描述屬性:
description:可用來描述條件的角色指派描述。
條件是否套用至整個角色指派或特定動作?
條件只會套用至特定的目標動作。
條件的限制為何?
條件長度最多可達 8 KB。
描述的限制為何?
描述長度最多可達 2 KB。
是否可以使用和不使用條件來建立角色指派,但使用安全性主體、角色定義和範圍的相同 Tuple?
否,如果您嘗試建立此角色指派,就會顯示錯誤。
角色指派中的條件是否提供明確的拒絕效果?
否,角色指派中的條件沒有明確的拒絕效果。 角色指派中的條件會篩選掉角色指派中授與的存取權,這可能會導致不允許存取。 明確拒絕效果是拒絕指派的一部分。