Share via

Exemples de conditions d’attribution de rôle Azure pour le Stockage Blob préversion

  • Article

Cet article énumère quelques exemples de conditions d’attribution de rôle pour contrôler l’accès au service Stockage Blob Azure.

Important

Le contrôle d’accès en fonction des attributs Azure (Azure ABAC) est en disponibilité générale (GA) pour contrôler l’accès au Stockage Blob Azure, à Azure Data Lake Storage Gen2 et aux files d’attente Azure à l’aide des attributs request, resource, environment et principal dans les niveaux de performances des comptes de stockage standard et premium. Actuellement, l’attribut de ressource des métadonnées de conteneur et l’attribut de requête d’inclusion de l’opération List Blobs sont en PRÉVERSION. Pour obtenir des informations complètes sur l’état des fonctionnalités d’ABAC pour Stockage Azure, consultez État des fonctionnalités de condition dans Stockage Azure.

Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Prérequis

Pour plus d’informations sur les prérequis à l’ajout ou à la modification des conditions d’attribution de rôle, consultez Prérequis aux conditions.

Résumé des exemples de cet article

Utilisez le tableau suivant pour trouver rapidement un exemple qui correspond à votre scénario ABAC. Le tableau inclut une brève description du scénario, ainsi qu’une liste d’attributs utilisés dans l’exemple par source (environnement, principal, requête et ressource).

Exemple Environnement Principal Requête Ressource
Lire des objets blob avec une balise d’index d’objet blob tags
Les nouveaux blob doivent inclure une balise d’index d’objet blob tags
Les objets blob existants doivent avoir des clés de balise d’index tags
Les objets blob existants doivent avoir des valeurs et des clés de balise d’index d’objets blob tags
Lire, écrire ou supprimer des objets blob dans des conteneurs nommés nom du conteneur
Lire des objets blob dans les conteneurs nommés avec un chemin d’accès nom de conteneur
chemin d’accès de l’objet blob
Lire ou répertorier des objets blob dans les conteneurs nommés avec un chemin d’accès préfixe d’objet blob nom de conteneur
chemin d’accès de l’objet blob
Écrire des objets blob dans les conteneurs nommés avec un chemin d’accès nom de conteneur
chemin d’accès de l’objet blob
Lire des objets blob avec une balise d’index d’objet blob et un chemin balises
chemin d'accès de l’objet blob
Lire des objets blob d’un conteneur avec des métadonnées spécifiques métadonnées de conteneur
Écrire ou supprimer des objets blob dans un conteneur avec des métadonnées spécifiques métadonnées de conteneur
Lire uniquement les versions actuelles des objets blob isCurrentVersion
Lire les versions d’objets blob actuelles et une version d’objet blob spécifique versionId isCurrentVersion
Supprimer les anciennes versions d’objets blob versionId
Lire les versions actuelles d’objets blob et tous les instantanés d’objets blob instantané isCurrentVersion
Autoriser l’opération List Blobs à inclure des métadonnées d’objet blob, des instantanés ou des versions attribut d’inclusion de l’opération List Blobs
Empêcher l’opération List Blobs d’inclure des métadonnées d’objet blob attribut d’inclusion de l’opération List Blobs
Lire uniquement les comptes de stockage avec un espace de noms hiérarchique activé isHnsEnabled
Lire des objets blob avec des étendues de chiffrement spécifiques Nom de l'étendue de chiffrement
Lire ou écrire des objets blob dans un compte de stockage nommé avec une étendue de chiffrement spécifique Nom du compte de stockage
Nom de l’étendue de chiffrement
Lire ou écrire dans des objets blob en fonction des balises d’index d’objets blob et des attributs de sécurité personnalisés id tags tags
Lire des objets blob en fonction des balises d’index d’objets blob et des attributs de sécurité personnalisés à valeurs multiples id tags
Autoriser l’accès en lecture aux objets blob après une date et une heure spécifiques UtcNow nom du conteneur
Autoriser l’accès aux objets blob dans des conteneurs spécifiques à partir d’un sous-réseau spécifique Subnet nom du conteneur
Exiger l’accès à une liaison privée pour les objets blob de lecture avec une sensibilité élevée isPrivateLink tags
Autoriser l’accès à un conteneur uniquement à partir d’un point de terminaison privé spécifique Point de terminaison privé nom du conteneur
Exemple : autoriser l’accès en lecture aux données d’objets blob hautement sensibles uniquement à partir d’un point de terminaison privé spécifique et par les utilisateurs marqués pour l’accès Point de terminaison privé id tags

Étiquettes d’index d’objet blob

Cette section inclut des exemples impliquant des balises d’index d’objet blob.

Important

Bien que Read content from a blob with tag conditions soit actuellement prise en charge pour la compatibilité avec les conditions implémentées lors de la préversion de la fonctionnalité ABAC, cette sous-opération a été déconseillée et Microsoft recommande d’utiliser l’action Read a blob à la place.

Lors de la configuration des conditions ABAC dans le portail Azure, vous pouvez voir DÉPRÉCIÉ : lecture du contenu d’un objet blob avec des conditions de balise. Microsoft recommande de supprimer l’opération et de la remplacer par l’action Read a blob.

Si vous créez votre propre condition dans laquelle vous souhaitez restreindre l’accès en lecture par conditions de balise, reportez-vous à Exemple : lire des objet blob avec une balise d’index blob.

Exemple : Lire des objets blob avec une balise d’index d’objet blob

Cette condition permet aux utilisateurs de lire des objets blob dont la clé de Project est balise d’index d’objets blob et la valeur est Cascade. Les tentatives d’accès aux objets blob sans cette balise clé-valeur ne sont pas autorisées.

Pour que cette condition soit effective pour un principal de sécurité, vous devez l’ajouter à toutes les attributions de rôles qui incluent les actions suivantes :

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition illustrant un accès en lecture à des objets blobs avec une balise d’index de blob.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition à l’aide de l’éditeur visuel du Portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : {keyName}
Opérateur StringEquals
Valeur {keyValue}

Capture d’écran de l’éditeur de conditions sur le portail Azure montrant un accès en lecture aux objets blob avec une balise d’index de blob.

Exemple : Les nouveaux blobs doivent inclure une balise d'index d’objet blob

Cette condition implique que tout nouvel objet blob doit inclure une balise d’index d’objet blob Project et la valeur Cascade.

Deux actions vous permettent de créer de nouveaux objets blob, vous devez donc cibler les deux. Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes :

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition montrant que les nouveaux objets blob doivent inclure une balise d’index de blob.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Écrire dans un blob avec des balises d’index de blob
Écrire dans un blob avec des balises d’index de blob
Source de l’attribut Requête
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : {keyName}
Opérateur StringEquals
Valeur {keyValue}

Capture d’écran de l’éditeur de conditions sur le portail Azure montrant que les nouveaux objets blob doivent inclure une balise d’index de blob.

Exemple : Les blobs existants doivent avoir des clés de balise d'index

Cette condition exige que tous les objets blob existants soient étiquetés avec au moins l’une des clés balises d’index de blob autorisées : Project ou Program. Cette condition est utile pour ajouter la gouvernance aux blobs existants.

Deux actions vous permettent de mettre à jour les étiquettes sur les objets blob existants, vous devez donc cibler les deux. Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes :

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition montrant que les objets blob existants doivent avoir des clés de balise d’index de blob.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Écrire dans un blob avec des balises d’index de blob
Écrire des balises d’index de blob
Source de l’attribut Requête
Attribut Balises d’index d’objet blob [Clés]
Opérateur ForAllOfAnyValues:StringEquals
Valeur {keyName1}
{keyName2}

Capture d’écran de l’éditeur de conditions sur le portail Azure montrant que les objets blob existants doivent avoir des clés de balise d’index de blob.

Exemple : les objets blob existants doivent avoir des valeurs et des clés de balise d’index d’objets blob

Cette condition nécessite que tous les objets blob existants aient une clé de balise d’index d’objet blob Project et des valeurs Cascade, Baker ou Skagit. Cette condition est utile pour ajouter la gouvernance aux blobs existants.

Deux actions vous permettent de mettre à jour les étiquettes sur les objets blob existants, vous devez donc cibler les deux. Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition montrant que les objets blob existants doivent avoir des valeurs et une clé de balise d’index de blob.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Écrire dans un blob avec des balises d’index de blob
Écrire des balises d’index de blob
Source de l’attribut Requête
Attribut Balises d’index d’objet blob [Clés]
Opérateur ForAnyOfAnyValues:StringEquals
Valeur {keyName}
Opérateur And
Expression 2
Source de l’attribut Requête
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : {keyName}
Opérateur ForAllOfAnyValues:StringEquals
Valeur {keyValue1}
{keyValue2}
{keyValue3}

Capture d’écran de l’éditeur de conditions sur le portail Azure montrant que les objets blob existants doivent avoir des valeurs et une clé de balise d’index de blob.

Noms ou chemins de conteneur d’objets blob

Cette section comprend des exemples montrant comment restreindre l’accès aux objets en fonction du nom du conteneur ou du chemin d’accès de l’objet blob.

Exemple : Lire, écrire ou supprimer des blobs dans des conteneurs nommés

Cette condition permet aux utilisateurs de lire, d’écrire ou de supprimer des blobs dans des conteneurs de stockage nommés blobs-example-container. Cette condition est utile pour partager des conteneurs de stockage spécifiques avec d’autres utilisateurs dans un abonnement.

Il existe cinq actions pour la lecture, l’écriture et la suppression d’objets blob existants. Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.
Ajoutez si les comptes de stockage inclus dans cette condition ont un espace de noms hiérarchique activé ou peuvent être activés à l’avenir.

Les sous-opérations ne sont pas utilisées dans cette condition, car la sous-opération est nécessaire uniquement lorsque les conditions sont créées en fonction des balises.

Diagramme de condition illustrant la lecture, l’écriture ou la suppression d’objets blob dans des conteneurs nommés.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Supprimer un blob.
Lire un blob
Écrire dans un blob
Créer un blob ou un instantané, ou ajouter des données
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur {containerName}

Capture d’écran de l’éditeur de conditions sur le portail Azure illustrant la lecture, l’écriture ou la suppression d’objets blob dans des conteneurs nommés.

Exemple : Lire des blobs dans les conteneurs nommés avec un chemin d’accès

Cette condition autorise l’accès en lecture aux conteneurs de stockage nommés blobs-example-container avec le chemin d’accès au blob readonly/*. Cette condition est utile pour partager des parties spécifiques de conteneurs de stockage pour l’accès en lecture avec d’autres utilisateurs de l’abonnement.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.
Ajoutez si les comptes de stockage inclus dans cette condition ont un espace de noms hiérarchique activé ou peuvent être activés à l’avenir.

Diagramme de condition illustrant un accès en lecture à des objets blobs dans des conteneurs nommés avec un chemin.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur {containerName}
Expression 2
Opérateur And
Source de l’attribut Ressource
Attribut Chemin d’accès d’objet blob
Opérateur StringLike
Valeur {pathString}

Capture d’écran de l’éditeur de conditions sur le portail Azure illustrant un accès en lecture à des objets blob dans des conteneurs nommés avec un chemin.

Exemple : Lire ou répertorier des blobs dans les conteneurs nommés avec un chemin d’accès

Cette condition autorise l’accès en lecture et l’accès liste aux conteneurs de stockage nommés blobs-example-container avec le chemin d’accès au blob readonly/*. La condition 1 s’applique aux actions de lecture à l’exclusion des listes d’objets blob. La condition 2 s’applique aux listes d’objets blob. Cette condition est utile pour partager des parties spécifiques de conteneurs de stockage pour l’accès en lecture ou liste avec d’autres utilisateurs de l’abonnement.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.
Ajoutez si les comptes de stockage inclus dans cette condition ont un espace de noms hiérarchique activé ou peuvent être activés à l’avenir.

Diagramme de condition illustrant un accès en mode lecture et liste à des objets blobs dans des conteneurs nommés avec un chemin.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Notes

Le portail Azure utilise prefix='' pour répertorier les objets blob à partir du répertoire racine du conteneur. Une fois la condition ajoutée avec l’opération de liste d’objets blob à l’aide du préfixe StringStartsWith 'readonly/', les utilisateurs ciblés ne peuvent pas répertorier les objets blob à partir du répertoire racine du conteneur dans le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur {containerName}
Expression 2
Opérateur And
Source de l’attribut Ressource
Attribut Chemin d’accès d’objet blob
Opérateur StringStartsWith
Valeur {pathString}
Condition no 2 Paramètre
Actions Lister des objets blob
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur {containerName}
Expression 2
Opérateur And
Source de l’attribut Requête
Attribut Préfixe de blob
Opérateur StringStartsWith
Valeur {pathString}

Exemple : Écrire des blobs dans les conteneurs nommés avec un chemin d’accès

Cette condition permet à un partenaire (un utilisateur invité Microsoft Entra) de déposer des fichiers dans des conteneurs de stockage nommés Contosocorp avec le chemin d’accès uploads/contoso/*. Cette condition est utile pour permettre à d’autres utilisateurs de déposer des données dans des conteneurs de stockage.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.
Ajoutez si les comptes de stockage inclus dans cette condition ont un espace de noms hiérarchique activé ou peuvent être activés à l’avenir.

Diagramme de condition illustrant un accès en écriture à des objets blobs dans des conteneurs nommés avec un chemin.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Écrire dans un blob
Créer un blob ou un instantané, ou ajouter des données
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur {containerName}
Expression 2
Opérateur And
Source de l’attribut Ressource
Attribut Chemin d’accès d’objet blob
Opérateur StringLike
Valeur {pathString}

Capture d’écran de l’éditeur de conditions sur le portail Azure illustrant un accès en lecture à des objets blob dans des conteneurs nommés avec un chemin.

Exemple : lire des objets blob avec une balise d’index d’objet blob et un chemin

Cette condition permet à un utilisateur de lire des objets blob dont la clé de balise d’index d’objets blob est Program, dont la valeur est Alpine et dont le chemin d’accès au blob est logs*. Le chemin d’accès au blob logs* comprend également le nom du blob.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition illustrant un accès en lecture à des objets blobs avec une balise d’index de blob et un chemin.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : {keyName}
Opérateur StringEquals
Valeur {keyValue}

Capture d’écran de l’éditeur de la condition 1 sur le portail Azure illustrant un accès en lecture à des objets blob avec une balise d’index de blob et un chemin.

Condition no 2 Paramètre
Actions Lire un blob
Source de l’attribut Ressource
Attribut Chemin d’accès d’objet blob
Opérateur StringLike
Valeur {pathString}

Capture d’écran de l’éditeur de la condition 2 sur le portail Azure illustrant un accès en lecture à des objets blob avec une balise d’index de blob et un chemin.

Métadonnées de conteneur d’objets blob

Exemple : lire des objets blob d’un conteneur avec des métadonnées spécifiques

Cette condition permet aux utilisateurs de lire les objets blob des conteneurs d’objets blob avec une paire clé/valeur de métadonnées spécifique.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Source de l’attribut Ressource
Attribut Métadonnées de conteneur
Opérateur StringEquals
Valeur {containerName}

Capture d’écran de l’éditeur de conditions sur le Portail Azure illustrant la lecture d’un objet blob dans le conteneur avec des métadonnées spécifiques.

Exemple : écrire ou supprimer des objets blob dans un conteneur avec des métadonnées spécifiques

Cette condition permet aux utilisateurs d’écrire ou de supprimer des objets blob dans des conteneurs d’objets blob avec une paire clé/valeur de métadonnées spécifique.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Écrire dans un blob
Supprimer un blob.
Source de l’attribut Ressource
Attribut Métadonnées de conteneur
Opérateur StringEquals
Valeur {containerName}

Capture d’écran de l’éditeur de conditions sur le Portail Azure illustrant l’écriture et la suppression d’un objet blob dans le conteneur avec des métadonnées spécifiques.

Versions d’objets blob ou instantanés d’objet blob

Cette section comprend des exemples montrant comment restreindre l’accès aux objets en fonction de la version ou de l’instantané d’objet blob.

Exemple : lire uniquement les versions actuelles des objets blob

Cette condition permet à un utilisateur de lire uniquement les versions actuelles d’objets blob. L’utilisateur ne peut pas lire d’autres versions d’objets blob.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition illustrant un accès en lecture à la version actuelle de l’objet blob uniquement.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Ressource
Attribut Version actuelle
Opérateur BoolEquals
Valeur True

Exemple : lire les versions d’objets blob actuelles et une version d’objet blob spécifique

Cette condition permet à un utilisateur de lire les versions d’objets blob actuelles ,ainsi que de lire des objets blob avec un ID de version de 2022-06-01T23:38:32.8883645Z. L’utilisateur ne peut pas lire d’autres versions d’objets blob. L’attribut deL’ID de version est disponible uniquement pour les comptes de stockage où l’espace de noms hiérarchique n’est pas activé.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Diagramme de condition illustrant un accès en lecture à une version spécifique de l’objet blob.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Source de l’attribut Requête
Attribut ID de version
Opérateur DateTimeEquals
Valeur <blobVersionId>
Expression 2
Opérateur ou
Source de l’attribut Ressource
Attribut Version actuelle
Opérateur BoolEquals
Valeur True

Exemple : supprimer les anciennes versions d’objets blob

Cette condition permet à un utilisateur de supprimer des versions d’un objet blob antérieures à 01/06/2022 pour effectuer le nettoyage. L’attribut deL’ID de version est disponible uniquement pour les comptes de stockage où l’espace de noms hiérarchique n’est pas activé.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Diagramme de condition illustrant un accès en suppression à d’anciennes versions d’objets blob.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Supprimer un blob.
Supprimer une version d’un objet blob
Source de l’attribut Requête
Attribut ID de version
Opérateur DateTimeLessThan
Valeur <blobVersionId>

Exemple : Lire les versions actuelles d’objets blob et tous les instantanés d’objets blob

Cette condition permet à un utilisateur de lire les versions actuelles d’objets blob et les instantanés d’objets blob. L’attribut deL’ID de version est disponible uniquement pour les comptes de stockage où l’espace de noms hiérarchique n’est pas activé. L’attribut capture instantanée est disponible pour les comptes de stockage où l’espace de noms hiérarchique n’est pas activé et actuellement en préversion pour les comptes de stockage où l’espace de noms hiérarchique est activé.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition illustrant un accès en lecture aux versions actuelles d’objets blob et aux éventuels instantanés d’objets blob.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Requête
Attribut Instantané
Exists Activée
Expression 2
Opérateur ou
Source de l’attribut Ressource
Attribut Version actuelle
Opérateur BoolEquals
Valeur True

Exemple : autoriser l’opération List Blobs à inclure des métadonnées d’objet blob, des instantanés ou des versions

Cette condition permet à un utilisateur de répertorier les objets blob d’un conteneur et d’inclure des métadonnées, des instantanés et des informations de version. L’attribut List blobs include est disponible pour les comptes de stockage où l’espace de noms hiérarchique n’est pas activé.

Remarque

L’attribut de requête List blobs include fonctionne en autorisant ou en interdisant des valeurs dans le paramètre include lors de l’appel de l’opération List Blobs. Les valeurs du paramètre include sont comparées aux valeurs spécifiées dans la condition à l’aide d’opérateurs de comparaison entre produits. Si la comparaison prend la valeur true, la requête List Blobs est autorisée. Si la comparaison prend la valeur false, la requête List Blobs est refusée.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lister des objets blob
Source de l’attribut Requête
Attribut Attribut d’inclusion de l’opération List Blobs
Opérateur ForAllOfAnyValues:StringEqualsIgnoreCase
Valeur {'metadata', 'snapshots', 'versions'}

Capture d’écran de l’éditeur de conditions sur le Portail Azure illustrant une condition permettant à un utilisateur de répertorier les objets blob d’un conteneur et d’inclure des métadonnées, un instantané et des informations de version.

Exemple : empêcher l’opération List Blobs d’inclure les métadonnées d’objet blob

Cette condition empêche un utilisateur de répertorier les objets blob lorsque les métadonnées sont incluses dans la requête. L’attribut List blobs include est disponible pour les comptes de stockage où l’espace de noms hiérarchique n’est pas activé.

Remarque

L’attribut de requête List blobs include fonctionne en autorisant ou en interdisant des valeurs dans le paramètre include lors de l’appel de l’opération List Blobs. Les valeurs du paramètre include sont comparées aux valeurs spécifiées dans la condition à l’aide d’opérateurs de comparaison entre produits. Si la comparaison prend la valeur true, la requête List Blobs est autorisée. Si la comparaison prend la valeur false, la requête List Blobs est refusée.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lister des objets blob
Source de l’attribut Requête
Attribut Attribut d’inclusion de l’opération List Blobs
Opérateur ForAllOfAllValues:StringNotEquals
Valeur {'metadata'}

Capture d’écran de l’éditeur de conditions sur le Portail Azure montrant une condition pour empêcher un utilisateur de répertorier des objets blob lorsque des métadonnées sont incluses dans la requête.

Espace de noms hiérarchique

Cette section comprend des exemples montrant comment restreindre l’accès aux objets selon que l’espace de noms hiérarchique est activé ou non pour un compte de stockage.

Exemple : Lire uniquement les comptes de stockage avec un espace de noms hiérarchique activé

Cette condition permet à un utilisateur de lire uniquement des objets blob dans des comptes de stockage avec un espace de noms hiérarchique activé. Cette condition s’applique uniquement à l’étendue du groupe de ressources ou une version ultérieure.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition illustrant un accès en lecture à des comptes de stockage avec un espace de noms hiérarchique activé.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Toutes les opérations de données pour les comptes avec un espace de noms hiérarchique activé (le cas échéant)
Source de l’attribut Ressource
Attribut Prend en charge l'espace de noms hiérarchique
Opérateur BoolEquals
Valeur True

Étendue de chiffrement

Cette section comprend des exemples montrant comment restreindre l’accès aux objets avec une étendue de chiffrement approuvée.

Exemple : Lire des objets blob avec des étendues de chiffrement spécifiques

Cette condition permet à un utilisateur de lire des objets blob chiffrés avec une étendue de chiffrement validScope1 ou validScope2.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Diagramme de condition illustrant un accès en lecture à des objets blob avec une étendue de chiffrement validScope1 ou validScope2.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Source de l’attribut Ressource
Attribut Nom de l'étendue de chiffrement
Opérateur ForAnyOfAnyValues:StringEquals
Valeur <scopeName>

Exemple : Lire ou écrire des objets blob dans un compte de stockage nommé avec une étendue de chiffrement spécifique

Cette condition permet à un utilisateur de lire ou d’écrire des objets blob dans un compte de stockage nommé sampleaccount et chiffré avec l’étendue de chiffrement ScopeCustomKey1. Si les objets blob ne sont pas chiffrés ou déchiffrés avec ScopeCustomKey1, la requête retourne interdit.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Notes

Étant donné que les étendues de chiffrement peuvent varier pour les différents comptes de stockage, il est recommandé d’utiliser l’attribut storageAccounts:name avec l’attribut encryptionScopes:name pour restreindre l’étendue de chiffrement spécifique à autoriser.

Diagramme de condition illustrant un accès en lecture ou écriture à des objets blob dans le compte de stockage sampleaccount avec l’étendue de stockage ScopeCustomKey1.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire un blob
Écrire dans un blob
Créer un blob ou un instantané, ou ajouter des données
Source de l’attribut Ressource
Attribut Nom du compte
Opérateur StringEquals
Valeur <accountName>
Expression 2
Opérateur And
Source de l’attribut Ressource
Attribut Nom de l'étendue de chiffrement
Opérateur ForAnyOfAnyValues:StringEquals
Valeur <scopeName>

Attributs de principal

Cette section comprend des exemples montrant comment restreindre l’accès aux objets basés sur des principaux de sécurité personnalisés.

Exemple : lire ou écrire dans des objets blob en fonction des balises d’index d’objets blob et des attributs de sécurité personnalisés

Cette condition permet l’accès en lecture ou écriture aux objets blob si l’utilisateur dispose d’un attribut de sécurité personnalisé qui correspond à la balise d’index blob.

Par exemple, si Brenda possède l’attribut Project=Baker, elle peut uniquement lire ou écrire des objets blob avec la balise d’index blob Project=Baker. De même, Chandra peut uniquement lire ou écrire des objets blob avec Project=Cascade.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent les actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Pour plus d’informations, consultez Autoriser l’accès en lecture aux objets BLOB en fonction des balises et des attributs de sécurité personnalisés.

Diagramme de condition illustrant un accès en lecture ou écriture à des objets blob basés sur des balises d’index blob et des attributs de sécurité personnalisés.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire les conditions d’un objet blob
Source de l’attribut Principal
Attribut <attributeset>_<key>
Opérateur StringEquals
Option Attribut
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : <key>
Condition no 2 Paramètre
Actions Écrire dans un blob avec des balises d’index de blob
Écrire dans un blob avec des balises d’index de blob
Source de l’attribut Principal
Attribut <attributeset>_<key>
Opérateur StringEquals
Option Attribut
Source de l’attribut Requête
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : <key>

Exemple : lire des objets blob en fonction des balises d’index d’objets blob et des attributs de sécurité personnalisés à valeurs multiples

Cette condition permet l’accès en lecture aux objets blob si l’utilisateur dispose d’un attribut de sécurité personnalisé qui correspond à la balise d’index blob.

Par exemple, si Chandra possède l’attribut Project les valeurs Baker et Cascade, elle peut uniquement lire les blobs avec la balise d’index blob Project=Baker ou Project=Cascade.

Vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’action suivante.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

Pour plus d’informations, consultez Autoriser l’accès en lecture aux objets BLOB en fonction des balises et des attributs de sécurité personnalisés.

Diagramme de condition illustrant un accès en lecture à des objets blob basés sur des balises d’index blob et des attributs de sécurité personnalisés multivaleurs.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant le portail Azure.

Condition no 1 Paramètre
Actions Lire les conditions d’un objet blob
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : <key>
Opérateur ForAnyOfAnyValues:StringEquals
Option Attribut
Source de l’attribut Principal
Attribut <attributeset>_<key>

Attributs d’environnement

Cette section comprend des exemples montrant comment restreindre l’accès aux objets en fonction de l’environnement réseau ou de la date et de l’heure actuelles.

Exemple : autoriser l’accès en lecture aux objets blob après une date et une heure spécifiques

Cette condition autorise l’accès en lecture au conteneur d’objets blob container1 uniquement après 13 h le 1er mai 2023, heure UTC (Universal Coordinated Time).

Il existe deux actions potentielles pour lire des objets blob existants. Pour que cette condition soit effective pour les principaux qui ont plusieurs attributions de rôle, vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Ajouter une action

Sélectionnez Add action (Ajouter une action), puis sélectionnez uniquement la sous-opération Read a blob (Lire un objet blob), comme indiqué dans le tableau suivant.

Action Sous-opération
Toutes les opérations de lecture Lire un blob

Ne sélectionnez pas l’action de niveau supérieur Toutes les opérations de lecture ou d’autres sous-opérations, comme illustré dans l’image suivante :

Capture d’écran de l’éditeur de condition dans le portail Azure avec la sélection de l’opération de lecture.

Créer l'expression

Utilisez les valeurs du tableau suivant pour générer la partie Expression de la condition :

Paramètre Value
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur container1
Opérateur logique 'AND'
Source de l’attribut Environment
Attribut UtcNow
Opérateur DateTimeGreaterThan
Valeur 2023-05-01T13:00:00.000Z

L’image suivante montre la condition une fois que les paramètres ont été entrés dans le portail Azure. Vous devez regrouper des expressions pour garantir une évaluation correcte.

Capture d’écran de l’éditeur de condition dans le portail Azure avec l’accès en lecture autorisé après une date et une heure spécifiques.

Exemple : autoriser l’accès aux objets blob dans des conteneurs spécifiques à partir d’un sous-réseau spécifique

Cette condition autorise l’accès en lecture, écriture, ajout et suppression aux objets blob dans container1 uniquement à partir du sous-réseau default sur le réseau virtuel virtualnetwork1. Pour utiliser l’attribut de sous-réseau dans cet exemple, le sous-réseau doit avoir points de terminaison de service activés pour stockage Azure.

Il existe cinq actions potentielles pour l’accès en lecture, écriture, ajout et suppression d’objets blob existants. Pour que cette condition soit effective pour les principaux qui ont plusieurs attributions de rôle, vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Ajouter une action

Sélectionnez Ajouter une action, puis sélectionnez uniquement les actions de niveau supérieur indiquées dans le tableau suivant.

Action Sous-opération
Toutes les opérations de lecture n/a
Écrire dans un blob n/a
Créer un blob ou un instantané, ou ajouter des données n/a
Supprimer un blob. n/a

Ne sélectionnez aucune sous-opération individuelle, comme illustré dans l’image suivante :

Capture d’écran de l’éditeur de condition dans le portail Azure avec la sélection des opérations de lecture, d’écriture, d’ajout et de suppression.

Créer l'expression

Utilisez les valeurs du tableau suivant pour générer la partie Expression de la condition :

Paramètre Value
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur container1
Opérateur logique 'AND'
Source de l’attribut Environment
Attribut Sous-réseau
Opérateur StringEqualsIgnoreCase
Valeur /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

L’image suivante montre la condition une fois que les paramètres ont été entrés dans le portail Azure. Vous devez regrouper des expressions pour garantir une évaluation correcte.

Capture d’écran de l’éditeur de condition dans le portail Azure avec l’accès en lecture aux conteneurs spécifiques autorisés à partir d’un sous-réseau spécifique.

Cette condition nécessite que les demandes de lecture d’objets blob où la sensibilité de balise d’index d’objet blob a une valeur de high doivent être sur une liaison privée (n’importe quelle liaison privée). Cela signifie que toutes les tentatives de lecture d’objets blob hautement sensibles à partir de l’Internet public ne seront pas autorisées. Les utilisateurs peuvent lire des objets blob à partir de l’Internet public dont la sensibilité est définie sur une valeur autre que high.

Voici un tableau de vérité pour cet exemple de condition ABAC :

Action Sensibilité Liaison privée Accès
Lire un blob high Oui Autorisé
Lire un blob high Non Non autorisée
Lire un blob PAS élevée Oui Autorisé
Lire un blob PAS élevée Non Autorisé

Il existe deux actions potentielles pour lire des objets blob existants. Pour que cette condition soit effective pour les principaux qui ont plusieurs attributions de rôle, vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant l’éditeur de condition visuel dans le portail Azure.

Ajouter une action

Sélectionnez Add action (Ajouter une action), puis sélectionnez uniquement la sous-opération Read a blob (Lire un objet blob), comme indiqué dans le tableau suivant.

Action Sous-opération
Toutes les opérations de lecture Lire un blob

Ne sélectionnez pas le niveau supérieur Toutes les opérations de lecture action d’autres sous-opérations, comme illustré dans l’image suivante :

Capture d’écran de l’éditeur de condition dans le portail Azure avec la sélection de l’opération de lecture.

Créer l'expression

Utilisez les valeurs du tableau suivant pour générer la partie Expression de la condition :

Groupe Paramètre Valeur
Groupe 1
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : sensitivity
Opérateur StringEquals
Valeur high
Opérateur logique 'AND'
Source de l’attribut Environment
Attribut Est une liaison privée
Opérateur BoolEquals
Valeur True
Fin du groupe n° 1
Opérateur logique 'OR'
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : sensitivity
Opérateur StringNotEquals
Valeur high

L’image suivante montre la condition une fois que les paramètres ont été entrés dans le portail Azure. Vous devez regrouper des expressions pour garantir une évaluation correcte.

Capture d’écran de l’éditeur de condition dans le portail Azure avec l’accès en lecture nécessitant une liaison privée pour les données sensibles.

Exemple : autoriser l’accès à un conteneur uniquement à partir d’un point de terminaison privé spécifique

Cette condition nécessite que toutes les opérations de lecture, d’écriture, d’ajout et de suppression des objets blob dans un conteneur de stockage nommé container1 soient effectuées via un point de terminaison privé nommé privateendpoint1. Pour tous les autres conteneurs non nommés container1, l’accès n’a pas besoin d’être via le point de terminaison privé.

Il existe cinq actions potentielles pour la lecture, l’écriture et la suppression d’objets blob existants. Pour que cette condition soit effective pour les principaux qui ont plusieurs attributions de rôle, vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.
Ajoutez si les comptes de stockage inclus dans cette condition ont un espace de noms hiérarchique activé ou peuvent être activés à l’avenir.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant l’éditeur de condition visuel dans le portail Azure.

Ajouter une action

Sélectionnez Ajouter une action, puis sélectionnez uniquement les actions de niveau supérieur indiquées dans le tableau suivant.

Action Sous-opération
Toutes les opérations de lecture n/a
Écrire dans un blob n/a
Créer un blob ou un instantané, ou ajouter des données n/a
Supprimer un blob. n/a

Ne sélectionnez aucune sous-opération individuelle, comme illustré dans l’image suivante :

Capture d’écran de l’éditeur de condition dans le portail Azure avec la sélection des opérations de lecture, d’écriture, d’ajout et de suppression.

Créer l'expression

Utilisez les valeurs du tableau suivant pour générer la partie Expression de la condition :

Groupe Paramètre Valeur
Groupe 1
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringEquals
Valeur container1
Opérateur logique 'AND'
Source de l’attribut Environment
Attribut Point de terminaison privé
Opérateur StringEqualsIgnoreCase
Valeur /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Fin du groupe n° 1
Opérateur logique 'OR'
Source de l’attribut Ressource
Attribut Nom du conteneur
Opérateur StringNotEquals
Valeur container1

L’image suivante montre la condition une fois que les paramètres ont été entrés dans le portail Azure. Vous devez regrouper des expressions pour garantir une évaluation correcte.

Capture d’écran de l’éditeur de condition sur le portail Azure illustrant la lecture, l’écriture ou la suppression d’objets blob dans des conteneurs nommés avec l’attribut d’environnement de point de terminaison privé.

Exemple : autoriser l’accès en lecture aux données d’objets blob hautement sensibles uniquement à partir d’un point de terminaison privé spécifique et par les utilisateurs marqués pour l’accès

Cette condition exige que les objets blob dont la sensibilité de balise d’index est définie sur high puissent être lus uniquement par les utilisateurs qui ont une valeur correspondante pour leur attribut de sécurité de sensibilité. En outre, ils doivent être accessibles via un point de terminaison privé nommé privateendpoint1. Les objets blob qui ont une valeur différente pour la balise de sensibilité sont accessibles via d’autres points de terminaison ou Internet.

Il existe deux actions potentielles pour lire des objets blob existants. Pour que cette condition soit effective pour les principaux qui ont plusieurs attributions de rôle, vous devez ajouter cette condition à toutes les attributions de rôles qui incluent l’une des actions suivantes.

Action Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Ajoutez si la définition de rôle inclut cette action, comme Propriétaire des données Blob du stockage.

La condition peut être ajoutée à une attribution de rôle à l’aide du portail Azure ou d’Azure PowerShell. Le portail dispose de deux outils pour créer des conditions ABAC : l’éditeur visuel et l’éditeur de code. Vous pouvez basculer entre les deux éditeurs dans le portail Azure pour afficher vos conditions dans des affichages différents. Basculez entre les onglets Éditeur visuel et Éditeur de code pour afficher les exemples de votre éditeur de portail préféré.

Voici les paramètres pour ajouter cette condition en utilisant l’éditeur de condition visuel dans le portail Azure.

Ajouter une action

Sélectionnez Add action (Ajouter une action), puis sélectionnez uniquement la sous-opération Read a blob (Lire un objet blob), comme indiqué dans le tableau suivant.

Action Sous-opération
Toutes les opérations de lecture Lire un blob

Ne sélectionnez pas l’action de niveau supérieur, comme indiqué dans l’image suivante :

Capture d’écran de l’éditeur de condition dans le portail Azure avec la sélection de l’opération de lecture d’un objet blob.

Créer l'expression

Utilisez les valeurs du tableau suivant pour générer la partie Expression de la condition :

Groupe Paramètre Valeur
Groupe 1
Source de l’attribut Principal
Attribut <attributeset>_<key>
Opérateur StringEquals
Option Attribut
Opérateur logique 'AND'
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : <key>
Opérateur logique 'AND'
Source de l’attribut Environment
Attribut Point de terminaison privé
Opérateur StringEqualsIgnoreCase
Valeur /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Fin du groupe n° 1
Opérateur logique 'OR'
Source de l’attribut Ressource
Attribut Balises d’index de blob [Valeurs dans la clé]
Clé : sensitivity
Opérateur StringNotEquals
Valeur high

L’image suivante montre la condition une fois que les paramètres ont été entrés dans le portail Azure. Vous devez regrouper des expressions pour garantir une évaluation correcte.

Capture d’écran de l’éditeur de condition dans le portail Azure avec l’accès en lecture autorisé sur un point de terminaison privé spécifique pour les utilisateurs étiquetés.

Étapes suivantes