Przykładowe warunki przypisywania ról platformy Azure dla usługi Blob Storage

Artykuł
04/07/2024

W tym artykule wymieniono kilka przykładów warunków przypisywania ról na potrzeby kontrolowania dostępu do usługi Azure Blob Storage.

Ważne

Kontrola dostępu oparta na atrybutach platformy Azure (Azure ABAC) jest ogólnie dostępna do kontrolowania dostępu do usług Azure Blob Storage, Azure Data Lake Storage Gen2 i Azure Queues przy użyciu requestatrybutów , resource, environmenti principal zarówno w warstwach wydajności konta magazynu w warstwie Standardowa, jak i Premium Storage. Obecnie atrybut zasobu metadanych kontenera i lista obiektów blob dołączania atrybutu żądania są dostępne w wersji zapoznawczej. Aby uzyskać pełne informacje o stanie funkcji ABAC dla usługi Azure Storage, zobacz Stan funkcji warunku w usłudze Azure Storage.

Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Wymagania wstępne

Aby uzyskać informacje o wymaganiach wstępnych dotyczących dodawania lub edytowania warunków przypisywania ról, zobacz Warunki wstępne.

Podsumowanie przykładów w tym artykule

Skorzystaj z poniższej tabeli, aby szybko znaleźć przykład pasujący do scenariusza ABAC. Tabela zawiera krótki opis scenariusza oraz listę atrybutów używanych w przykładzie według źródła (środowisko, podmiot zabezpieczeń, żądanie i zasób).

Przykład	Środowisko	Główne	Żądanie	Zasób
Odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob				tags
Nowe obiekty blob muszą zawierać tag indeksu obiektów blob			tags
Istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob			tags
Istniejące obiekty blob muszą mieć klucz i wartości tagu indeksu obiektów blob			tags
Odczytywanie, zapisywanie lub usuwanie obiektów blob w nazwanych kontenerach				nazwa kontenera
Odczytywanie obiektów blob w nazwanych kontenerach ze ścieżką				ścieżka obiektu blob nazwy kontenera
Odczytywanie lub wyświetlanie listy obiektów blob w nazwanych kontenerach ze ścieżką			Prefiks obiektu blob	ścieżka obiektu blob nazwy kontenera
Zapisywanie obiektów blob w nazwanych kontenerach ze ścieżką				ścieżka obiektu blob nazwy kontenera
Odczytywanie obiektów blob przy użyciu tagu indeksu obiektów blob i ścieżki				ścieżka tagów obiektu blob
Odczytywanie obiektów blob w kontenerze z określonymi metadanymi				metadane kontenera
Zapisywanie lub usuwanie obiektów blob w kontenerze z określonymi metadanymi				metadane kontenera
Tylko do odczytu bieżące wersje obiektów blob				isCurrentVersion
Odczytywanie bieżących wersji obiektów blob i określonej wersji obiektu blob			versionId	isCurrentVersion
Usuwanie starych wersji obiektów blob			versionId
Odczytywanie bieżących wersji obiektów blob i wszystkich migawek obiektów blob			migawka	isCurrentVersion
Zezwalaj na operację list obiektów blob w celu uwzględnienia metadanych obiektów blob, migawek lub wersji			lista obiektów blob include
Ogranicz operację obiektu blob listy, aby nie uwzględniać metadanych obiektu blob			lista obiektów blob include
Konta magazynu tylko do odczytu z włączoną hierarchiczną przestrzenią nazw				isHnsEnabled
Odczytywanie obiektów blob z określonymi zakresami szyfrowania				Nazwa zakresu szyfrowania
Odczytywanie lub zapisywanie obiektów blob na nazwanym koncie magazynu z określonym zakresem szyfrowania				Nazwa zakresu szyfrowania konta magazynu
Odczytywanie lub zapisywanie obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń		ID	tags	tags
Odczytywanie obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń o wielu wartościach		ID		tags
Zezwalaj na dostęp do odczytu do obiektów blob po określonej dacie i godzinie	Utcnow			nazwa kontenera
Zezwalaj na dostęp do obiektów blob w określonych kontenerach z określonej podsieci	Podsieć			nazwa kontenera
Wymaganie dostępu do łączy prywatnych w celu odczytu obiektów blob o wysokiej poufności	isPrivateLink			tags
Zezwalaj na dostęp do kontenera tylko z określonego prywatnego punktu końcowego	Prywatny punkt końcowy			nazwa kontenera
Przykład: Zezwalaj na dostęp do odczytu do wysoce poufnych danych obiektów blob tylko z określonego prywatnego punktu końcowego i przez użytkowników oznaczonych jako dostęp	Prywatny punkt końcowy	ID		tags

Tagi indeksu obiektów blob

Ta sekcja zawiera przykłady dotyczące tagów indeksu obiektów blob.

Ważne

Read content from a blob with tag conditions Mimo że podoperacja jest obecnie obsługiwana w celu zapewnienia zgodności z warunkami zaimplementowanymi w wersji zapoznawczej funkcji ABAC, została wycofana i firma Microsoft zaleca użycie Read a blob akcji.

Podczas konfigurowania warunków ABAC w witrynie Azure Portal może zostać wyświetlony komunikat PRZESTARZAŁE: Odczyt zawartości z obiektu blob z warunkami tagu. Firma Microsoft zaleca usunięcie operacji i zastąpienie jej akcją Read a blob .

Jeśli tworzysz własny warunek, w którym chcesz ograniczyć dostęp do odczytu według warunków tagów, zobacz Przykład: odczyt obiektów blob z tagiem indeksu obiektów blob.

Przykład: odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob

Ten warunek umożliwia użytkownikom odczytywanie obiektów blob przy użyciu klucza tagu indeksu obiektów blob projektu i wartości kaskadowej. Próby uzyskania dostępu do obiektów blob bez tego tagu klucz-wartość nie są dozwolone.

Aby ten warunek był skuteczny dla podmiotu zabezpieczeń, należy dodać go do wszystkich przypisań ról, które obejmują następujące akcje:

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob z tagiem indeksu obiektów blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora wizualizacji witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob
Źródło atrybutu	Zasób
Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
Klucz	{keyName}
Operator	StringEquals
Wartość	{keyValue}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

W tym przykładzie warunek ogranicza akcję odczytu z wyjątkiem sytuacji, gdy podoperacja to Blob.List. Oznacza to, że operacja List Blobs jest dozwolona, ale wszystkie inne akcje odczytu są dalej oceniane względem wyrażenia sprawdzającego tag indeksu obiektów blob.

Jeśli użytkownik spróbuje wykonać akcję w przypisanej roli, która nie jest akcją ograniczoną przez warunek, daje w wyniku wartość true, !(ActionMatches) a ogólny warunek daje wartość true. Ten wynik umożliwia wykonanie akcji.

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Przykład: Nowe obiekty blob muszą zawierać tag indeksu obiektów blob

Ten warunek wymaga, aby wszystkie nowe obiekty blob musiały zawierać klucz tagu indeksu obiektów blob projektu i wartość kaskady.

Istnieją dwie akcje, które umożliwiają tworzenie nowych obiektów blob, więc należy wybrać oba obiekty docelowe. Ten warunek należy dodać do wszystkich przypisań ról, które obejmują jedną z następujących akcji:

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający nowe obiekty blob musi zawierać tag indeksu obiektów blob.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob
Źródło atrybutu	Żądanie
Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
Klucz	{keyName}
Operator	StringEquals
Wartość	{keyValue}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Przykład: Istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob

Ten warunek wymaga otagowania wszystkich istniejących obiektów blob przy użyciu co najmniej jednego z dozwolonych kluczy tagów indeksu obiektów blob: Project lub Program. Ten warunek jest przydatny do dodawania ładu do istniejących obiektów blob.

Istnieją dwie akcje, które umożliwiają aktualizowanie tagów w istniejących obiektach blob, więc należy wybrać oba te akcje. Ten warunek należy dodać do wszystkich przypisań ról, które obejmują jedną z następujących akcji:

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob Zapisywanie tagów indeksu obiektów blob
Źródło atrybutu	Żądanie
Atrybut	Tagi indeksu obiektów blob [Klucze]
Operator	ForAllOfAnyValues:StringEquals
Wartość	{keyName1} {keyName2}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Przykład: Istniejące obiekty blob muszą mieć klucz i wartości tagu indeksu obiektów blob

Ten warunek wymaga, aby wszystkie istniejące obiekty blob miały klucz tagu indeksu obiektów blob projektu i wartości Cascade, Baker lub Skagit. Ten warunek jest przydatny do dodawania ładu do istniejących obiektów blob.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający istniejące obiekty blob musi mieć klucz i wartości tagu indeksu obiektów blob.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob Zapisywanie tagów indeksu obiektów blob
Źródło atrybutu	Żądanie
Atrybut	Tagi indeksu obiektów blob [Klucze]
Operator	ForAnyOfAnyValues:StringEquals
Wartość	{keyName}
Operator	And
Expression 2
Źródło atrybutu	Żądanie
Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
Klucz	{keyName}
Operator	ForAllOfAnyValues:StringEquals
Wartość	{keyValue1} {keyValue2} {keyValue3}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Nazwy kontenerów obiektów blob lub ścieżki

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie nazwy kontenera lub ścieżki obiektu blob.

Przykład: odczyt, zapis lub usuwanie obiektów blob w nazwanych kontenerach

Ten warunek umożliwia użytkownikom odczytywanie, zapisywanie lub usuwanie obiektów blob w kontenerach magazynu o nazwie blobs-example-container. Ten warunek jest przydatny w przypadku udostępniania określonych kontenerów magazynu innym użytkownikom w ramach subskrypcji.

Istnieje pięć akcji odczytu, zapisu i usuwania istniejących obiektów blob. Ten warunek należy dodać do wszystkich przypisań ról, które obejmują jedną z następujących akcji.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage. Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Podoperacje nie są używane w tym warunku, ponieważ podoperacja jest wymagana tylko wtedy, gdy warunki są tworzone na podstawie tagów.

Diagram warunku przedstawiający odczyt, zapis lub usuwanie obiektów blob w nazwanych kontenerach.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Usuwanie obiektu blob Odczytywanie obiektu blob Zapisywanie w obiekcie blob Tworzenie obiektu blob lub migawki lub dołączanie danych Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Zasób
Atrybut	Nazwa kontenera
Operator	StringEquals
Wartość	{containerName}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Współautor danych w usłudze Blob Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Przykład: odczytywanie obiektów blob w nazwanych kontenerach ze ścieżką

Ten warunek umożliwia dostęp do odczytu do kontenerów magazynu o nazwie blobs-example-container ze ścieżką obiektu blob readonly/*. Ten warunek jest przydatny w przypadku udostępniania określonych części kontenerów magazynu na potrzeby dostępu do odczytu innym użytkownikom w subskrypcji.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage. Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob w nazwanych kontenerach ze ścieżką.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Zasób
Atrybut	Nazwa kontenera
Operator	StringEquals
Wartość	{containerName}
Expression 2
Operator	And
Źródło atrybutu	Zasób
Atrybut	Ścieżka obiektu blob
Operator	StringLike
Wartość	{pathString}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Czytelnik danych obiektu blob usługi Storage, współautor danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Przykład: odczytywanie lub wyświetlanie listy obiektów blob w nazwanych kontenerach ze ścieżką

Ten warunek umożliwia dostęp do odczytu, a także dostęp do kontenerów magazynu o nazwie blobs-example-container ze ścieżką obiektu blob readonly/*. Warunek nr 1 dotyczy akcji odczytu z wyłączeniem obiektów blob listy. Warunek nr 2 dotyczy obiektów blob listy. Ten warunek jest przydatny w przypadku udostępniania określonych części kontenerów magazynu na potrzeby dostępu do odczytu lub listy innym użytkownikom w subskrypcji.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage. Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Diagram warunku przedstawiający dostęp do odczytu i listy obiektów blob w nazwanych kontenerach ze ścieżką.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Uwaga

Witryna Azure Portal używa prefiksu='' do wyświetlania listy obiektów blob z katalogu głównego kontenera. Po dodaniu warunku z operacją listy obiektów blob przy użyciu prefiksu StringStartsWith "readonly/" docelowi użytkownicy nie będą mogli wyświetlić listy obiektów blob z katalogu głównego kontenera w witrynie Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Zasób
Atrybut	Nazwa kontenera
Operator	StringEquals
Wartość	{containerName}
Expression 2
Operator	And
Źródło atrybutu	Zasób
Atrybut	Ścieżka obiektu blob
Operator	StringStartsWith
Wartość	{pathString}

Warunek 2	Ustawienie
Akcje	Wyświetlanie listy obiektów blob Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Zasób
Atrybut	Nazwa kontenera
Operator	StringEquals
Wartość	{containerName}
Expression 2
Operator	And
Źródło atrybutu	Żądanie
Atrybut	Prefiks obiektu blob
Operator	StringStartsWith
Wartość	{pathString}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Czytelnik danych obiektu blob usługi Storage, współautor danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: zapisywanie obiektów blob w nazwanych kontenerach ze ścieżką

Ten warunek umożliwia partnerowi (użytkownikowi-gościowi usługi Microsoft Entra) upuszczanie plików do kontenerów magazynu o nazwie Contosocorp ze ścieżką przekazywania/contoso/*. Ten warunek jest przydatny w przypadku zezwalania innym użytkownikom na umieszczanie danych w kontenerach magazynu.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage. Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Diagram warunku przedstawiający dostęp do zapisu do obiektów blob w nazwanych kontenerach ze ścieżką.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Zapisywanie w obiekcie blob Tworzenie obiektu blob lub migawki lub dołączanie danych Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Zasób
Atrybut	Nazwa kontenera
Operator	StringEquals
Wartość	{containerName}
Expression 2
Operator	And
Źródło atrybutu	Zasób
Atrybut	Ścieżka obiektu blob
Operator	StringLike
Wartość	{pathString}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Współautor danych w usłudze Blob Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Przykład: odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob i ścieżki

Ten warunek umożliwia użytkownikowi odczytywanie obiektów blob przy użyciu klucza tagu indeksu obiektów blob programu, wartości Alpine i ścieżki obiektu blob dzienników*. Ścieżka obiektu blob dzienników* zawiera również nazwę obiektu blob.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob z tagiem indeksu obiektów blob i ścieżką.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob
Źródło atrybutu	Zasób
Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
Klucz	{keyName}
Operator	StringEquals
Wartość	{keyValue}

Warunek 2	Ustawienie
Akcje	Odczytywanie obiektu blob
Źródło atrybutu	Zasób
Atrybut	Ścieżka obiektu blob
Operator	StringLike
Wartość	{pathString}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Poniżej przedstawiono sposób testowania tego warunku.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadane kontenera obiektów blob

Przykład: odczyt obiektów blob w kontenerze z określonymi metadanymi

Ten warunek umożliwia użytkownikom odczytywanie obiektów blob w kontenerach obiektów blob z określoną parą klucza/wartości metadanych.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob
Źródło atrybutu	Zasób
Atrybut	Metadane kontenera
Operator	StringEquals
Wartość	{containerName}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Czytelnik danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Przykład: zapisywanie lub usuwanie obiektów blob w kontenerze z określonymi metadanymi

Ten warunek umożliwia użytkownikom zapisywanie lub usuwanie obiektów blob w kontenerach obiektów blob z określoną parą klucza/wartości metadanych.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Zapisywanie w obiekcie blob Usuwanie obiektu blob
Źródło atrybutu	Zasób
Atrybut	Metadane kontenera
Operator	StringEquals
Wartość	{containerName}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Współautor danych w usłudze Blob Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku przy użyciu programu Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Wersje obiektów blob lub migawki obiektów blob

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie wersji obiektu blob lub migawki.

Przykład: tylko do odczytu bieżące wersje obiektów blob

Ten warunek umożliwia użytkownikowi odczytywanie tylko bieżących wersji obiektów blob. Użytkownik nie może odczytać innych wersji obiektów blob.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu tylko do bieżącej wersji obiektu blob.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Zasób
Atrybut	Jest bieżącą wersją
Operator	BoolEquals
Wartość	Prawda

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Czytelnik danych obiektu blob usługi Storage, współautor danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: Odczytywanie bieżących wersji obiektów blob i określonej wersji obiektu blob

Ten warunek umożliwia użytkownikowi odczytywanie bieżących wersji obiektów blob oraz odczytywanie obiektów blob z identyfikatorem wersji 2022-06-01T23:38:32.8883645Z. Użytkownik nie może odczytać innych wersji obiektów blob. Atrybut Identyfikator wersji jest dostępny tylko dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagram warunku przedstawiający dostęp do odczytu do określonej wersji obiektu blob.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob
Źródło atrybutu	Żądanie
Atrybut	Identyfikator wersji
Operator	DateTimeEquals
Wartość	<blobVersionId>
Expression 2
Operator	Or
Źródło atrybutu	Zasób
Atrybut	Jest bieżącą wersją
Operator	BoolEquals
Wartość	Prawda

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: Usuwanie starych wersji obiektów blob

Ten warunek umożliwia użytkownikowi usunięcie wersji obiektu blob starszego niż 06.01.2022 w celu przeprowadzenia czyszczenia. Atrybut Identyfikator wersji jest dostępny tylko dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagram warunku przedstawiający usuwanie dostępu do starych wersji obiektów blob.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Usuwanie obiektu blob Usuwanie wersji obiektu blob
Źródło atrybutu	Żądanie
Atrybut	Identyfikator wersji
Operator	DateTimeLessThan
Wartość	<blobVersionId>

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: Odczytywanie bieżących wersji obiektów blob i wszystkich migawek obiektów blob

Ten warunek umożliwia użytkownikowi odczytywanie bieżących wersji obiektów blob i wszystkich migawek obiektów blob. Atrybut Identyfikator wersji jest dostępny tylko dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona. Atrybut Migawka jest dostępny dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona i obecnie w wersji zapoznawczej dla kont magazynu, w których włączono hierarchiczną przestrzeń nazw.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do bieżących wersji obiektów blob i wszystkich migawek obiektów blob.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Żądanie
Atrybut	Migawka
Exists	Sprawdzane
Expression 2
Operator	Or
Źródło atrybutu	Zasób
Atrybut	Jest bieżącą wersją
Operator	BoolEquals
Wartość	Prawda

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Czytelnik danych obiektu blob usługi Storage, współautor danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: Zezwalaj na operację listy obiektów blob w celu uwzględnienia metadanych obiektów blob, migawek lub wersji

Ten warunek umożliwia użytkownikowi wyświetlanie listy obiektów blob w kontenerze oraz dołączanie metadanych, migawek i informacji o wersji. Atrybut Dołączanie obiektów blob listy jest dostępny dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Uwaga

Uwzględnij listę obiektów blob jest atrybutem żądania i działa przez zezwolenie na lub ograniczenie wartości w parametrze include podczas wywoływania operacji List Blobs . Wartości w parametrze include są porównywane z wartościami określonymi w warunku przy użyciu operatorów porównania między produktami. Jeśli porównanie daje wartość true, List Blobs żądanie jest dozwolone. Jeśli porównanie zwróci wartość false, List Blobs żądanie zostanie odrzucone.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Wyświetlanie listy obiektów blob
Źródło atrybutu	Żądanie
Atrybut	Lista obiektów blob zawiera
Operator	ForAllOfAnyValues:StringEqualsIgnoreCase
Wartość	{'metadata', 'snapshots', 'versions'}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Czytelnik danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

W tym przykładzie warunek ogranicza akcję odczytu, gdy podoperacja to Blob.List. Oznacza to, że operacja List Blobs jest dalej oceniana względem wyrażenia, które sprawdza include wartości, ale wszystkie inne akcje odczytu są dozwolone.

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: ograniczanie operacji obiektów blob listy w celu braku uwzględnienia metadanych obiektu blob

Ten warunek ogranicza użytkownikowi wyświetlanie listy obiektów blob, gdy metadane są uwzględniane w żądaniu. Atrybut Dołączanie obiektów blob listy jest dostępny dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Uwaga

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Wyświetlanie listy obiektów blob
Źródło atrybutu	Żądanie
Atrybut	Lista obiektów blob zawiera
Operator	ForAllOfAllValues:StringNotEquals
Wartość	{'metadata'}

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Czytelnik danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Hierarchiczna przestrzeń nazw

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie tego, czy hierarchiczna przestrzeń nazw jest włączona dla konta magazynu.

Przykład: konta magazynu tylko do odczytu z włączoną hierarchiczną przestrzenią nazw

Ten warunek umożliwia użytkownikowi odczytywanie tylko obiektów blob na kontach magazynu z włączoną hierarchiczną przestrzenią nazw . Ten warunek ma zastosowanie tylko w zakresie grupy zasobów lub wyższym.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do kont magazynu z włączoną hierarchiczną przestrzenią nazw.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu	Zasób
Atrybut	Czy włączono hierarchiczną przestrzeń nazw
Operator	BoolEquals
Wartość	Prawda

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Czytelnik danych obiektu blob usługi Storage, współautor danych obiektu blob usługi Storage

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Zakres szyfrowania

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów za pomocą zatwierdzonego zakresu szyfrowania.

Przykład: odczytywanie obiektów blob z określonymi zakresami szyfrowania

Ten warunek umożliwia użytkownikowi odczytywanie obiektów blob zaszyfrowanych za pomocą zakresu validScope1 szyfrowania lub validScope2.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob z zakresem szyfrowania validScope1 lub validScope2.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob
Źródło atrybutu	Zasób
Atrybut	Nazwa zakresu szyfrowania
Operator	ForAnyOfAnyValues:StringEquals
Wartość	<Scopename>

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: odczyt lub zapis obiektów blob na nazwanym koncie magazynu z określonym zakresem szyfrowania

Ten warunek umożliwia użytkownikowi odczytywanie lub zapisywanie obiektów blob na koncie magazynu o nazwie sampleaccount i zaszyfrowaniu przy użyciu zakresu ScopeCustomKey1szyfrowania. Jeśli obiekty blob nie są szyfrowane ani odszyfrowywane za pomocą ScopeCustomKey1metody , żądanie zwraca niedozwolone.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Uwaga

Ponieważ zakresy szyfrowania dla różnych kont magazynu mogą być inne, zaleca się użycie atrybutu storageAccounts:name z atrybutem encryptionScopes:name w celu ograniczenia dozwolonego zakresu szyfrowania.

Diagram warunku przedstawiający dostęp do odczytu lub zapisu do obiektów blob na koncie magazynu sampleaccount z zakresem szyfrowania ScopeCustomKey1.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie obiektu blob Zapisywanie w obiekcie blob Tworzenie obiektu blob lub migawki lub dołączanie danych
Źródło atrybutu	Zasób
Atrybut	Nazwa konta
Operator	StringEquals
Wartość	<Accountname>
Expression 2
Operator	And
Źródło atrybutu	Zasób
Atrybut	Nazwa zakresu szyfrowania
Operator	ForAnyOfAnyValues:StringEquals
Wartość	<Scopename>

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Atrybuty podmiotu zabezpieczeń

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie niestandardowych podmiotów zabezpieczeń.

Przykład: odczytywanie lub zapisywanie obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń

Ten warunek umożliwia dostęp do odczytu lub zapisu do obiektów blob, jeśli użytkownik ma niestandardowy atrybut zabezpieczeń zgodny z tagiem indeksu obiektów blob.

Jeśli na przykład Brenda ma atrybut Project=Baker, może tylko odczytywać lub zapisywać obiekty blob za pomocą tagu indeksu Project=Baker obiektów blob. Podobnie usługa Chandra może tylko odczytywać lub zapisywać obiekty blob za pomocą polecenia Project=Cascade.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Aby uzyskać więcej informacji, zobacz Zezwalanie na dostęp do odczytu do obiektów blob na podstawie tagów i niestandardowych atrybutów zabezpieczeń.

Diagram warunku przedstawiający dostęp do odczytu lub zapisu do obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie warunków obiektu blob
Źródło atrybutu	Główny
Atrybut	<attributeset>_<key>
Operator	StringEquals
Opcja	Atrybut
Źródło atrybutu	Zasób
Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
Klucz	<key>

Warunek 2	Ustawienie
Akcje	Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob
Źródło atrybutu	Główny
Atrybut	<attributeset>_<key>
Operator	StringEquals
Opcja	Atrybut
Źródło atrybutu	Żądanie
Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
Klucz	<key>

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Przykład: Odczytaj obiekty blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń o wielu wartościach

Ten warunek umożliwia dostęp do odczytu do obiektów blob, jeśli użytkownik ma niestandardowy atrybut zabezpieczeń z dowolnymi wartościami zgodnymi z tagiem indeksu obiektów blob.

Jeśli na przykład Chandra ma atrybut Project z wartościami Baker i Cascade, może odczytywać tylko obiekty blob z tagiem indeksu Project=Baker obiektów blob lub Project=Cascade .

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Aby uzyskać więcej informacji, zobacz Zezwalanie na dostęp do odczytu do obiektów blob na podstawie tagów i niestandardowych atrybutów zabezpieczeń.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń wielowartościowych.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1	Ustawienie
Akcje	Odczytywanie warunków obiektu blob
Źródło atrybutu	Zasób
Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
Klucz	<key>
Operator	ForAnyOfAnyValues:StringEquals
Opcja	Atrybut
Źródło atrybutu	Główny
Atrybut	<attributeset>_<key>

Aby dodać warunek przy użyciu edytora kodu, skopiuj przykładowy kod warunku i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Atrybuty środowiska

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów w oparciu o środowisko sieciowe lub bieżącą datę i godzinę.

Przykład: Zezwalaj na dostęp do odczytu do obiektów blob po określonej dacie i godzinie

Ten warunek umożliwia dostęp do odczytu do kontenera container1 obiektów blob dopiero po 13:00 w dniu 1 maja 2023 r. uniwersalny czas koordynowany (UTC).

Istnieją dwa potencjalne akcje odczytu istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko podoperację Odczytuj obiekt blob , jak pokazano w poniższej tabeli.

Akcja	Podoperacja
Wszystkie operacje odczytu	Odczytywanie obiektu blob

Nie wybieraj akcji Wszystkie operacje odczytu najwyższego poziomu ani żadnych innych podoperacji, jak pokazano na poniższej ilustracji:

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Ustawienie Wartość

Źródło atrybutu Zasób

Atrybut Nazwa kontenera

Operator StringEquals

Wartość container1

Operator logiczny "AND"

Źródło atrybutu Środowisko

Atrybut Utcnow

Operator DateTimeGreaterThan

Wartość 2023-05-01T13:00:00.000Z

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Aby dodać warunek przy użyciu edytora kodu, skopiuj poniższy kod warunku przykładowy i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku dla roli Czytelnik danych obiektu blob usługi Storage przy użyciu programu Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Przykład: Zezwalaj na dostęp do obiektów blob w określonych kontenerach z określonej podsieci

Ten warunek umożliwia dostęp do odczytu, zapisu, dodawania i usuwania obiektów blob tylko z podsieci container1default w sieci virtualnetwork1wirtualnej. Aby użyć atrybutu Podsieć w tym przykładzie, podsieć musi mieć włączone punkty końcowe usługi dla usługi Azure Storage.

Istnieje pięć potencjalnych akcji dotyczących odczytu, zapisu, dodawania i usuwania do istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko akcje najwyższego poziomu pokazane w poniższej tabeli.

Akcja	Podoperacja
Wszystkie operacje odczytu	N/a
Zapisywanie w obiekcie blob	N/a
Tworzenie obiektu blob lub migawki lub dołączanie danych	N/a
Usuwanie obiektu blob	N/a

Nie wybieraj żadnych pojedynczych podoperacji, jak pokazano na poniższej ilustracji:

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Ustawienie Wartość

Źródło atrybutu Zasób

Atrybut Nazwa kontenera

Operator StringEquals

Wartość container1

Operator logiczny "AND"

Źródło atrybutu Środowisko

Atrybut Podsieć

Operator StringEqualsIgnoreCase

Wartość /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Aby dodać warunek przy użyciu edytora kodu, skopiuj poniższy kod warunku przykładowy i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku dla roli Współautor danych obiektu blob usługi Storage przy użyciu programu Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Przykład: wymaganie dostępu do łączy prywatnych w celu odczytu obiektów blob o wysokiej poufności

Ten warunek wymaga, aby żądania odczytuły obiekty blob, w których czułość tagu indeksu obiektów blob ma wartość high typu "over a private link" (dowolny link prywatny). Oznacza to, że wszystkie próby odczytu bardzo wrażliwych obiektów blob z publicznego Internetu nie będą dozwolone. Użytkownicy mogą odczytywać obiekty blob z publicznego Internetu, które mają czułość ustawioną na wartość inną niż high.

Tabela prawdy dla tego przykładowego warunku ABAC jest następująca:

Działania	Czułość	Łącze prywatne	Dostęp
Odczytywanie obiektu blob	Wysokiej	Tak	Dozwolone
Odczytywanie obiektu blob	Wysokiej	Nie.	Niedozwolone
Odczytywanie obiektu blob	NIE wysoki	Tak	Dozwolone
Odczytywanie obiektu blob	NIE wysoki	Nie.	Dozwolone

Akcja Uwagi

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora warunków wizualnych w witrynie Azure Portal.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko podoperację Odczytuj obiekt blob , jak pokazano w poniższej tabeli.

Akcja	Podoperacja
Wszystkie operacje odczytu	Odczytywanie obiektu blob

Nie wybieraj akcji Wszystkie operacje odczytu na najwyższym poziomie innych podoperacji, jak pokazano na poniższej ilustracji:

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Grupuj Ustawienie Wartość

Grupa nr 1

Źródło atrybutu Zasób

Atrybut Tagi indeksu obiektów blob [wartości w kluczu]

Klucz sensitivity

Operator StringEquals

Wartość high

Operator logiczny "AND"

Źródło atrybutu Środowisko

Atrybut Jest łączem prywatnym

Operator BoolEquals

Wartość True

Koniec grupy nr 1

Operator logiczny "OR"

Źródło atrybutu Zasób

Atrybut Tagi indeksu obiektów blob [wartości w kluczu]

Klucz sensitivity

Operator StringNotEquals

Wartość high

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Aby dodać warunek przy użyciu edytora kodu, skopiuj poniższy kod warunku przykładowy i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku dla roli Czytelnik danych obiektu blob usługi Storage przy użyciu programu Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Przykład: Zezwalaj na dostęp do kontenera tylko z określonego prywatnego punktu końcowego

Ten warunek wymaga, aby wszystkie operacje odczytu, zapisu, dodawania i usuwania obiektów blob w kontenerze magazynu o nazwie zostały wykonane za pośrednictwem prywatnego punktu końcowego o nazwie container1privateendpoint1. W przypadku wszystkich innych kontenerów, które nie mają nazwy container1, dostęp nie musi być za pośrednictwem prywatnego punktu końcowego.

Istnieje pięć potencjalnych akcji odczytu, zapisu i usuwania istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja	Uwagi
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage. Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora warunków wizualnych w witrynie Azure Portal.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko akcje najwyższego poziomu pokazane w poniższej tabeli.

Akcja	Podoperacja
Wszystkie operacje odczytu	N/a
Zapisywanie w obiekcie blob	N/a
Tworzenie obiektu blob lub migawki lub dołączanie danych	N/a
Usuwanie obiektu blob	N/a

Nie wybieraj żadnych pojedynczych podoperacji, jak pokazano na poniższej ilustracji:

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Grupuj Ustawienie Wartość

Grupa nr 1

Źródło atrybutu Zasób

Atrybut Nazwa kontenera

Operator StringEquals

Wartość container1

Operator logiczny "AND"

Źródło atrybutu Środowisko

Atrybut Prywatny punkt końcowy

Operator StringEqualsIgnoreCase

Wartość /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Koniec grupy nr 1

Operator logiczny "OR"

Źródło atrybutu Zasób

Atrybut Nazwa kontenera

Operator StringNotEquals

Wartość container1

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Aby dodać warunek przy użyciu edytora kodu, wybierz jeden z następujących przykładów kodu warunku, w zależności od roli skojarzonej z przypisaniem. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

Właściciel danych obiektu blob usługi Storage:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Współautor danych obiektu blob usługi Storage:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku dla roli Współautor danych obiektu blob usługi Storage przy użyciu programu Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Przykład: Zezwalaj na dostęp do odczytu do wysoce poufnych danych obiektów blob tylko z określonego prywatnego punktu końcowego i przez użytkowników oznaczonych jako dostęp

Ten warunek wymaga, aby high obiekty blob z ustawioną poufnością tagów indeksu mogły być odczytywane tylko przez użytkowników, którzy mają zgodną wartość atrybutu zabezpieczeń poufności. Ponadto należy uzyskać do nich dostęp za pośrednictwem prywatnego punktu końcowego o nazwie privateendpoint1. Do obiektów blob, które mają inną wartość tagu poufności , można uzyskać dostęp za pośrednictwem innych punktów końcowych lub Internetu.

Akcja Uwagi

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora warunków wizualnych w witrynie Azure Portal.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko podoperację Odczytuj obiekt blob , jak pokazano w poniższej tabeli.

Akcja	Podoperacja
Wszystkie operacje odczytu	Odczytywanie obiektu blob

Nie wybieraj akcji najwyższego poziomu, jak pokazano na poniższej ilustracji:

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Grupuj	Ustawienie	Wartość
Grupa nr 1
	Źródło atrybutu	Główny
	Atrybut	<attributeset>_<key>
	Operator	StringEquals
	Opcja	Atrybut
	Operator logiczny	"AND"
	Źródło atrybutu	Zasób
	Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
	Klucz	<key>
	Operator logiczny	"AND"
	Źródło atrybutu	Środowisko
	Atrybut	Prywatny punkt końcowy
	Operator	StringEqualsIgnoreCase
	Wartość	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Koniec grupy nr 1
	Operator logiczny	"OR"
	Źródło atrybutu	Zasób
	Atrybut	Tagi indeksu obiektów blob [wartości w kluczu]
	Klucz	`sensitivity`
	Operator	StringNotEquals
	Wartość	`high`

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Aby dodać warunek przy użyciu edytora kodu, skopiuj poniższy kod warunku przykładowy i wklej go do edytora kodu. Po wprowadzeniu kodu wróć do edytora wizualizacji, aby go zweryfikować.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Aby dowiedzieć się więcej na temat formatowania i oceniania warunków, zobacz Format warunków.

Poniżej przedstawiono sposób dodawania tego warunku dla roli Czytelnik danych obiektu blob usługi Storage przy użyciu programu Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Przykładowe warunki przypisywania ról platformy Azure dla usługi Blob Storage

Wymagania wstępne

Podsumowanie przykładów w tym artykule

Tagi indeksu obiektów blob

Przykład: odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob

Przykład: Nowe obiekty blob muszą zawierać tag indeksu obiektów blob

Przykład: Istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob

Przykład: Istniejące obiekty blob muszą mieć klucz i wartości tagu indeksu obiektów blob

Nazwy kontenerów obiektów blob lub ścieżki

Przykład: odczyt, zapis lub usuwanie obiektów blob w nazwanych kontenerach

Przykład: odczytywanie obiektów blob w nazwanych kontenerach ze ścieżką

Przykład: odczytywanie lub wyświetlanie listy obiektów blob w nazwanych kontenerach ze ścieżką

Przykład: zapisywanie obiektów blob w nazwanych kontenerach ze ścieżką

Przykład: odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob i ścieżki

Metadane kontenera obiektów blob

Przykład: odczyt obiektów blob w kontenerze z określonymi metadanymi

Przykład: zapisywanie lub usuwanie obiektów blob w kontenerze z określonymi metadanymi

Wersje obiektów blob lub migawki obiektów blob

Przykład: tylko do odczytu bieżące wersje obiektów blob

Przykład: Odczytywanie bieżących wersji obiektów blob i określonej wersji obiektu blob

Przykład: Usuwanie starych wersji obiektów blob

Przykład: Odczytywanie bieżących wersji obiektów blob i wszystkich migawek obiektów blob

Przykład: Zezwalaj na operację listy obiektów blob w celu uwzględnienia metadanych obiektów blob, migawek lub wersji

Przykład: ograniczanie operacji obiektów blob listy w celu braku uwzględnienia metadanych obiektu blob

Hierarchiczna przestrzeń nazw

Przykład: konta magazynu tylko do odczytu z włączoną hierarchiczną przestrzenią nazw

Zakres szyfrowania

Przykład: odczytywanie obiektów blob z określonymi zakresami szyfrowania

Przykład: odczyt lub zapis obiektów blob na nazwanym koncie magazynu z określonym zakresem szyfrowania

Atrybuty podmiotu zabezpieczeń

Przykład: odczytywanie lub zapisywanie obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń

Przykład: Odczytaj obiekty blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń o wielu wartościach

Atrybuty środowiska

Przykład: Zezwalaj na dostęp do odczytu do obiektów blob po określonej dacie i godzinie

Dodaj akcję

Kompiluj wyrażenie

Przykład: Zezwalaj na dostęp do obiektów blob w określonych kontenerach z określonej podsieci

Dodaj akcję

Kompiluj wyrażenie

Przykład: wymaganie dostępu do łączy prywatnych w celu odczytu obiektów blob o wysokiej poufności

Dodaj akcję

Kompiluj wyrażenie

Przykład: Zezwalaj na dostęp do kontenera tylko z określonego prywatnego punktu końcowego

Dodaj akcję

Kompiluj wyrażenie

Przykład: Zezwalaj na dostęp do odczytu do wysoce poufnych danych obiektów blob tylko z określonego prywatnego punktu końcowego i przez użytkowników oznaczonych jako dostęp

Dodaj akcję

Kompiluj wyrażenie

Następne kroki

Dodatkowe zasoby