Ajouter ou modifier des conditions d’attribution de rôle Azure à l’aide du portail Azure

Une condition d’attribution de rôle Azure est une vérification facultative que vous pouvez ajouter à votre attribution de rôle pour fournir un contrôle d’accès plus précis. Par exemple, vous pouvez ajouter une condition qui oblige un objet à porter une étiquette spécifique pour être lu. Cet article explique comment ajouter, modifier, consulter ou supprimer des conditions pour vos attributions de rôle à l’aide du portail Azure.

Prérequis

Pour plus d’informations sur les prérequis à l’ajout ou à la modification des conditions d’attribution de rôle, consultez Prérequis aux conditions.

Étape 1 : Déterminer les conditions dont vous avez besoin

Pour obtenir des idées de conditions qui pourraient vous être utiles, passez en revue les exemples fournis dans Exemples de conditions d’attribution de rôle Azure pour Stockage Blob.

Actuellement, il est possible d’ajouter des conditions à des attributions de rôles intégrés ou personnalisés qui ont des actions de données Stockage Blob ou des actions de données Stockage File d’attente. Sont inclus les rôles intégrés suivants :

Étape 2 : Choisir comment ajouter une condition

Il existe deux façons d’ajouter une condition. Vous pouvez ajouter une condition quand vous ajoutez une nouvelle attribution de rôle ou vous pouvez ajouter une condition à une attribution de rôle existante.

Nouvelle affectation de rôle

  1. Effectuez les étapes indiquant comment attribuer des rôles Azure à l’aide du portail Azure.

  2. Sous l’onglet Conditions (facultatif) , cliquez sur Ajouter une condition.

    Si vous ne voyez pas l’onglet Conditions (facultatif), vérifiez que vous avez sélectionné un rôle qui prend en charge les conditions.

    Capture d’écran de la page Ajouter une attribution de rôle avec l’onglet Ajouter une condition.

    La page Ajouter une condition d’attribution de rôle s’affiche.

Attribution de rôle existante

  1. Dans le portail Azure, ouvrez le Contrôle d’accès (IAM) dans l’étendue où vous voulez ajouter une condition. Par exemple, vous pouvez ouvrir un abonnement, un groupe de ressources ou une ressource.

    Actuellement, vous ne pouvez pas utiliser le portail Azure pour ajouter, consulter, modifier ou supprimer une condition dans l’étendue d’un groupe d’administration.

  2. Cliquez sur l’onglet Attributions de rôles afin d’afficher toutes les attributions de rôles pour cette étendue.

  3. Recherchez une attribution de rôle qui a des actions de données de stockage auxquelles vous voulez ajouter une condition.

  4. Dans la colonne Condition, cliquez sur Ajouter.

    Si vous ne voyez pas le lien Ajouter, vérifiez que vous examinez la même étendue que celle de l’attribution de rôle.

    Liste des attributions de rôles avec une colonne Condition.

    La page Ajouter une condition d’attribution de rôle s’affiche.

Étape 3 : Passer en revue les informations de base

Une fois la page Ajouter une condition d’attribution de rôle ouverte, vous pouvez passer en revue les informations de base de la condition. Rôle indique le rôle auquel la condition sera ajoutée.

  1. Pour l’option Type d’éditeur, laissez la valeur Visuel par défaut sélectionnée.

    Une fois que vous avez ajouté une condition, vous pouvez basculer entre Visuel et Code.

  2. (Facultatif) Si la zone Description s’affiche, entrez une description.

    En fonction de la façon dont vous avez choisi d’ajouter une condition, il est possible que la zone Description ne s’affiche pas. Une description peut vous aider à comprendre et à mémoriser le but de la condition.

    Page Ajouter une condition d’attribution de rôle montrant la description et le type d’éditeur.

Étape 4 : Ajouter des actions

  1. Dans la section Ajouter une action, cliquez sur Ajouter une action.

    Le volet Sélectionner une action s’affiche. Ce volet est une liste filtrée d’actions de données basée sur l’attribution de rôle destinée à être la cible de votre condition. Pour plus d’informations, consultez Format et syntaxe des conditions d’attribution de rôle Azure.

    Sélectionnez un volet Actions pour une condition avec une action sélectionnée.

  2. Sélectionnez les actions que vous voulez autoriser si la condition est vraie.

    Si vous sélectionnez plusieurs actions pour une même condition, vous pouvez choisir moins d’attributs pour votre condition, car ceux-ci doivent être disponibles au sein des actions sélectionnées.

  3. Cliquez sur Sélectionner.

    Les actions sélectionnées s’affichent dans la liste des actions.

Étape 5 : Générer des expressions

  1. Dans la section Générer l’expression, cliquez sur Ajouter une expression.

    La section Expression se développe.

  2. Dans la liste Source d’attribut, sélectionnez l’emplacement où l’attribut peut se trouver.

    • Environnement indique que l’attribut est associé à l’environnement réseau sur lequel la ressource est accessible, comme une liaison privée ou la date et l’heure actuelles.
    • Ressource indique que l’attribut est sur la ressource, comme un nom de conteneur.
    • Demande indique que l’attribut fait partie de la demande d’action, comme la définition de la balise d’index d’objet blob.
    • Principal indique que l’attribut est un principe d’attribut de sécurité personnalisé Microsoft Entra, tel qu’un utilisateur, une application d’entreprise (principal de service) ou une identité managée.
  3. Dans la liste Attribut, sélectionnez un attribut pour le côté gauche de l’expression.

    Pour plus d’informations sur les sources d’attribut prises en charge et les attributs individuels, consultez Attributs.

    En fonction de l’attribut que vous sélectionnez, des zones peuvent être ajoutées pour spécifier des détails d’attribut supplémentaires ou des opérateurs. Par exemple, certains attributs prennent en charge la fonction opérateur Existe, que vous pouvez utiliser pour tester si l’attribut est actuellement associé à la ressource, telle qu’une étendue de chiffrement.

  4. Dans la liste Opérateur, sélectionnez un opérateur.

    Pour plus d’informations, consultez Format et syntaxe des conditions d’attribution de rôle Azure.

  5. Dans la zone Valeur, entrez une valeur pour le côté droit de l’expression.

    Section Générer l’expression avec des valeurs pour les balises d’index d’objet blob.

  6. Ajoutez d’autres expressions si nécessaire.

    Si vous ajoutez trois expressions ou plus, vous devrez peut-être les regrouper entre parenthèses afin que les opérateurs logiques de connexion soient évalués correctement. Ajoutez des coches en regard des expressions que vous souhaitez regrouper, puis sélectionnez Grouper. Pour supprimer le regroupement, sélectionnez Dégrouper.

    Section de génération d’expressions avec plusieurs expressions à regrouper.

Étape 6 : Examiner et ajouter une condition

  1. Faites défiler la liste jusqu’à Type d’éditeur, puis cliquez sur Code.

    La condition s’affiche sous forme de code. Vous pouvez apporter des modifications à la condition dans cet éditeur de code. L’éditeur de code peut être utile pour coller un échantillon de code ou pour ajouter plus d’opérateurs ou de logique afin de générer des conditions plus complexes. Pour revenir à l’éditeur visuel, cliquez sur Visuel.

    Condition affichée dans l’éditeur de code avec des actions sélectionnées et une expression ajoutée.

  2. Cliquez sur Enregistrer pour ajouter la condition à l’attribution de rôle.

Consulter, modifier ou supprimer une condition

  1. Dans le portail Azure, ouvrez Contrôle d’accès (IAM) pour l’attribution de rôle ayant une condition que vous voulez consulter, modifier ou supprimer.

  2. Cliquez sur l’onglet Attributions de rôle, puis recherchez l’attribution de rôle.

  3. Dans la colonne Condition, cliquez sur Afficher/Modifier.

    Si vous ne voyez pas le lien Afficher/Modifier, vérifiez que vous examinez la même étendue que celle de l’attribution de rôle.

    Liste des attributions de rôle avec un lien Afficher/Modifier pour la condition.

    La page Ajouter une condition d’attribution de rôle s’affiche.

  4. Utilisez l’éditeur pour consulter ou modifier la condition.

    Condition affichée dans l’éditeur après avoir cliqué sur le lien Afficher/Modifier.

  5. Lorsque vous avez terminé, cliquez sur Enregistrer. Pour supprimer l’intégralité de la condition, cliquez sur Supprimer la condition. La suppression de la condition ne supprime pas l’attribution de rôle.

Étapes suivantes