Adicionar ou editar condições de atribuição de função do Azure usando o portal do Azure

Uma condição de atribuição de função do Azure é uma verificação opcional que você pode adicionar à atribuição de função para fornecer um controle de acesso mais refinado. Por exemplo, você pode adicionar uma condição que exige que um objeto tenha uma marca específica para ler o objeto. Este artigo descreve como adicionar, editar, exibir ou excluir condições para suas atribuições de função usando o portal do Azure.

Pré-requisitos

Para obter informações sobre os pré-requisitos para adicionar ou editar condições de atribuição de função, confira Pré-requisitos das condições.

Etapa 1: Determinar a condição necessária

Para obter algumas ideias sobre as condições que podem ser úteis para você, confira os exemplos em Exemplos de condições de atribuição de função do Azure para o Armazenamento de Blobs.

Atualmente, as condições podem ser adicionadas a atribuições de função personalizada ou internas que tenham ações de dados de armazenamento de blobs ou ações de dados de armazenamento de filas. Elas incluem as seguintes funções internas:

• Colaborador de dados de blob de armazenamento
• Proprietário de Dados do Blob de Armazenamento
• Leitor de Dados do Blob de Armazenamento
• Colaborador de dados da fila de armazenamento
• Processador de mensagens de dados da fila de armazenamento
• Remetente da mensagem de dados da fila de armazenamento
• Leitor de dados da fila de armazenamento

Etapa 2: Escolher como adicionar uma condição

Há duas maneiras de se adicionar uma condição. Você pode adicionar uma condição ao adicionar uma nova atribuição de função ou pode adicionar uma condição a uma atribuição de função existente.

Nova atribuição de função

1. Siga as etapas para Atribuir funções do Azure usando o portal do Azure.

2. Na guia Condição (opcional) , clique em Adicionar condição.

   Se você não estiver vendo a guia Condições (opcional), certifique-se de ter selecionado uma função que ofereça suporte a condições.

   

   A página Adicionar condição de atribuição de função será exibida.

Atribuição de função existente

1. No portal do Azure, abra o controle de acesso (IAM) no escopo em que você deseja adicionar uma condição. Por exemplo, você pode abrir uma assinatura, um grupo de recursos ou um recurso.

   No momento, não é possível usar o portal do Azure para adicionar, exibir, editar ou excluir uma adição de condição em um escopo de grupo de gerenciamento.

2. Clique na guia Atribuições de função para visualizar todas as atribuições de função nesse escopo.

3. Localize uma atribuição de função que tenha ações de dados de armazenamento às quais você deseja adicionar uma condição.

4. Na coluna Condição, clique em Adicionar.

   Se o link Adicionar não aparecer, verifique se você está no mesmo escopo da atribuição de função.

   

   A página Adicionar condição de atribuição de função será exibida.

Etapa 3: Revisão de noções básicas

Depois que a página Adicionar condição de atribuição de função estiver aberta, você poderá examinar os conceitos básicos da condição. Função indica a função à qual a condição será adicionada.

1. Para a opção Tipo de editor, deixe o Visual padrão selecionado.

   Após adicionar uma condição, você pode alternar entre Visual e Código.

2. (Opcional) Se a caixa de Descrição for exibida, insira uma descrição.

   Dependendo de como você tenha optado por adicionar uma condição, talvez não veja a caixa Descrição. Uma descrição pode ajudar você a entender e se lembrar da finalidade da condição.

   

Etapa 4: Adicionar ações

1. Na seção Adicionar ação, clique em Adicionar ação.

   O painel Selecionar uma ação será exibido. Esse painel é uma lista filtrada de ações de dados com base na atribuição de função que será o destino da condição. Para obter mais informações, consulte Formato e sintaxe da condição de atribuição de função do Azure.

   

2. Selecione as ações que você deseja permitir se a condição for verdadeira.

   Se você selecionar várias ações para uma única condição, pode haver menos opções de atributos para a sua condição, pois os atributos devem estar disponíveis nas ações selecionadas.

3. Clique em Selecionar.

   As ações selecionadas aparecem na lista de ações.

Etapa 5: Criar expressões

1. Na seção Criar expressão, clique em Adicionar expressão.

   A seção Expressão é expandida.

2. Na lista Origem de atributo, selecione onde o atributo pode ser encontrado.

   • O ambiente indica que o atributo está associado ao ambiente de rede no qual o recurso é acessado, como um link privado ou a data e a hora atuais.
   • Recurso indica que o atributo está no recurso, como o nome do contêiner.
   • Solicitação indica que o atributo faz parte da solicitação de ação, como definir a marca de índice de blob.
   • A entidade de segurança indica que o atributo é uma entidade de segurança de atributo de segurança personalizado do Microsoft Entra, como um usuário, um aplicativo empresarial (entidade de serviço) ou uma identidade gerenciada.

3. Na lista Atributo, selecione um atributo para o lado esquerdo da expressão.

   Para obter mais informações sobre as fontes de atributo com suporte e os atributos individuais, confira Atributos.

   Dependendo do atributo selecionado, podem ser adicionadas caixas para especificar informações de atributo adicionais ou operadores. Por exemplo, alguns atributos dão suporte ao operador de função Exists, que você pode usar para testar se o atributo está atualmente associado ao recurso, como um escopo de criptografia.

4. Na lista Operador, selecione um operador.

   Para obter mais informações, consulte Formato e sintaxe da condição de atribuição de função do Azure.

5. Na caixa Valor, insira um valor para o lado direito da expressão.

   

6. Adicione mais expressões conforme necessário.

   Caso você adicione três ou mais expressões, talvez seja necessário agrupá-las com parênteses para que os operadores lógicos de conexão sejam avaliados corretamente. Adicione marcas de seleção ao lado das expressões que deseja agrupar e selecione Agrupar. Para remover o agrupamento, selecione Desagrupar.

   

Etapa 6: Revisar e adicionar condição

1. Role a página até Tipo de editor e clique em Código.

   A condição será exibida como um código. Você pode fazer alterações na condição neste editor de código. O editor de código pode ser útil para colar um código de exemplo ou para adicionar mais operadores ou lógica a fim de criar condições mais complexas. Para voltar ao editor visual, clique em Visual.

   

2. Clique em Salvar para adicionar a condição à atribuição de função.

Exibir, editar ou excluir uma condição

1. No portal do Azure, abra Controle de acesso (IAM) para a atribuição de função que tem uma condição que você deseja exibir, editar ou excluir.

2. Clique guia Atribuição de função e encontre a atribuição de função.

3. Na coluna Condição, clique em Exibir/Editar.

   Se o link Exibir/Editar não aparecer, verifique se você está no mesmo escopo da atribuição de função.

   

   A página Adicionar condição de atribuição de função será exibida.

4. Use o editor para exibir ou editar a condição.

   

5. Ao terminar, clique em Salvar. Para excluir a condição inteira, clique em Excluir condição. A exclusão da condição não remove a atribuição de função.

Próximas etapas

• Exemplo de condições de atribuição de função do Azure para o Armazenamento de Blobs
• Tutorial: Adicionar uma condição de atribuição de função para restringir o acesso a blobs usando o portal do Azure
• Solucionar problemas de condições de atribuição de função do Azure