Пример условий назначения ролей Azure для служба хранилища BLOB-объектов

Статья
04/01/2024

В этой статье перечислены некоторые примеры условий назначения ролей для управления доступом к Хранилище BLOB-объектов Azure.

Внимание

Управление доступом на основе атрибутов Azure (Azure ABAC) общедоступен для управления доступом к Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения и очередям Azure с помощью request, resourceenvironmentа principal также атрибутов в уровнях производительности учетной записи хранения уровня "Стандартный" и "Премиум". В настоящее время атрибут ресурса метаданных контейнера и большой двоичный объект списка включают атрибут запроса в предварительной версии. Полные сведения о состоянии функции ABAC для служба хранилища Azure см. в разделе "Состояние функций условий" в служба хранилища Azure.

Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Необходимые компоненты

Дополнительные сведения о предварительных требованиях для добавления и изменения условий назначения ролей см. в разделе Требования к условиям.

Сводка примеров в этой статье

Используйте следующую таблицу, чтобы быстро найти пример, соответствующий сценарию ABAC. Таблица содержит краткое описание сценария, а также список атрибутов, используемых в примере по источнику (среда, субъект, запрос и ресурс).

Пример	Среда	Субъект	Запросить	Ресурс
Чтение BLOB-объектов с тегом индекса BLOB-объектов				tags
Новые большие двоичные объекты должны содержать тег индекса BLOB-объектов			tags
Существующие большие двоичные объекты должны иметь ключи тега индекса BLOB-объектов			tags
Существующие большие двоичные объекты должны иметь ключ и значения тега индекса BLOB-объектов			tags
Чтение, запись или удаление больших двоичных объектов в именованных контейнерах				container name
Чтение больших двоичных объектов в именованных контейнерах с помощью пути				Путь к большому двоичному объекту имени контейнера
Чтение или перечисление больших двоичных объектов в именованных контейнерах с помощью пути			Префикс большого двоичного объекта	Путь к большому двоичному объекту имени контейнера
Запись больших двоичных объектов в именованных контейнерах с помощью пути				Путь к большому двоичному объекту имени контейнера
Чтение больших двоичных объектов с тегом индекса BLOB-объектов и путем				Путь к BLOB-объектам тегов
Чтение больших двоичных объектов в контейнере с определенными метаданными				метаданные контейнера
Запись или удаление больших двоичных объектов в контейнере с определенными метаданными				метаданные контейнера
Чтение только текущих версий BLOB-объектов				isCurrentVersion
Чтение текущих версий BLOB-объектов и определенной версии большого двоичного объекта			versionId	isCurrentVersion
Удаление старых версий BLOB-объектов			versionId
Чтение текущих версий BLOB-объектов и любых моментальных снимков BLOB-объектов			snapshot	isCurrentVersion
Разрешить операции списка BLOB-объектов включать метаданные, моментальные снимки или версии большого двоичного объекта			Список BLOB-объектов:
Ограничение операции с большим двоичным объектом списка, чтобы не включать метаданные БОЛЬШОго двоичного объекта			Список BLOB-объектов:
Чтение только учетных записей хранения с включенным иерархическим пространством имен				isHnsEnabled
Чтение больших двоичных объектов с определенными область шифрования				Имя области шифрования
Чтение или запись больших двоичных объектов в именованной учетной записи хранения с определенными область шифрования				имя учетной записи служба хранилища Имя область шифрования
Чтение или запись БОЛЬШИХ двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности		Идентификатор	tags	tags
Чтение больших двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности с несколькими значениями		Идентификатор		tags
Разрешить доступ на чтение к BLOB-объектам после определенной даты и времени	UtcNow			container name
Разрешить доступ к blob-объектам в определенных контейнерах из определенной подсети	Подсеть			container name
Требовать доступ к большим двоичным объектам с высокой степенью конфиденциальности для приватного канала	isPrivateLink			tags
Разрешить доступ к контейнеру только из определенной частной конечной точки	Частная конечная точка			container name
Пример. Разрешить доступ для чтения к конфиденциальным данным BLOB-объектов только из конкретной частной конечной точки и пользователями, помеченными для доступа	Частная конечная точка	Идентификатор		tags

Теги индекса BLOB-объектов

В этом разделе содержатся примеры с тегами индекса BLOB-объектов.

Внимание

Несмотря на Read content from a blob with tag conditions то, что в настоящее время субоперация поддерживается для совместимости с условиями, реализованными во время предварительной версии функций ABAC, она не рекомендуется использовать Read a blob действие.

При настройке условий ABAC в портал Azure может появиться сообщение DEPRECATED: чтение содержимого из большого двоичного объекта с условиями тега. Корпорация Майкрософт рекомендует удалить операцию и заменить ее действием Read a blob .

Если вы создаете собственное условие для ограничения доступа на чтение с помощью условий тега, ознакомьтесь с разделом Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов.

Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов

Это условие позволяет пользователям считывать большие двоичные объекты с ключом тега индекса BLOB-объекта Project и значением Cascade. Попытки доступа к BLOB-объектам без этого тега "ключ-значение" не допускаются.

Чтобы это условие было эффективным для субъекта безопасности, необходимо добавить его ко всем назначениям ролей, которые включают следующие действия:

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, показывающая доступ на чтение к большим двоичным объектам с тегом индекса большого двоичного объекта.

Условие можно добавить в назначение ролей с помощью портал Azure или Azure PowerShell. На портале есть два средства для создания условий ABAC — визуального редактора и редактора кода. Вы можете переключаться между двумя редакторами в портал Azure, чтобы просмотреть условия в разных представлениях. Перейдите между вкладкой "Визуальный редактор" и вкладками редактора кода, чтобы просмотреть примеры для предпочтительного редактора портала.

Ниже приведены параметры для добавления этого условия с помощью визуального редактора портал Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	StringEquals
Значение	{keyValue}

Чтобы добавить условие с помощью редактора кода, скопируйте пример кода условия и вставьте его в редактор кода. После ввода кода вернитесь в визуальный редактор, чтобы проверить его.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются в отношении выражения, которое проверка для тега индекса BLOB-объектов.

Если пользователь пытается выполнить действие в назначенной роли, которая не ограничена условием, оценивается как true, !(ActionMatches) а общее условие оценивается как true. Этот результат позволяет выполнить действие.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Пример. Новые BLOB-объекты должны содержать тег индекса BLOB-объекта

Это условие требует, чтобы все новые BLOB-объекты содержали ключ тега индекса BLOB-объекта Project и значение Cascade.

Существует два действия, позволяющие создавать новые BLOB-объекты, поэтому необходимо ориентироваться на оба. Это условие необходимо добавить к любым назначениям ролей, которые включают одно из следующих действий:

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, где показаны новые BLOB-объекты, которые должны содержать тег индекса большого двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись в большой двоичный объект с тегами индекса BLOB-объектов
Источник атрибута	Запросить
Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	StringEquals
Значение	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Пример. Существующие BLOB-объекты должны содержать ключи тегов индексов BLOB-объектов

Это условие требует, чтобы все существующие BLOB-объекты были помечены как минимум одним из допустимых ключей тегов индексов BLOB-объектов: Project или Program. Это условие позволяет реализовать функции управления для существующих BLOB-объектов.

Существует два действия, позволяющие обновлять теги в существующих BLOB-объектах, поэтому необходимо ориентироваться на оба. Это условие необходимо добавить к любым назначениям ролей, которые включают одно из следующих действий:

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, показывающая существующие большие двоичные объекты, которые должны содержать ключи тега индекса большого двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись тегов индекса BLOB-объектов
Источник атрибута	Запросить
Атрибут	Теги индекса BLOB-объектов [Ключи]
Оператор	ForAllOfAnyValues:StringEquals
Значение	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Пример. Существующие BLOB-объекты должны содержать ключ и значения тегов индексов BLOB-объектов

Это условие требует, чтобы все существующие BLOB-объекты имели ключ тега индекса BLOB-объектов Project и значения тега Cascade, Baker или Skagit. Это условие позволяет реализовать функции управления для существующих BLOB-объектов.

Существует два действия, позволяющие обновлять теги в существующих BLOB-объектах, поэтому необходимо ориентироваться на оба. Это условие нужно добавлять во все назначения ролей, которые включают одно из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, показывающая существующие большие двоичные объекты, которые должны содержать значения и ключ тега индекса большого двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись тегов индекса BLOB-объектов
Источник атрибута	Запросить
Атрибут	Теги индекса BLOB-объектов [Ключи]
Оператор	ForAnyOfAnyValues:StringEquals
Значение	{keyName}
Оператор	And
Expression 2
Источник атрибута	Запросить
Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	ForAllOfAnyValues:StringEquals
Значение	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Имена или пути контейнеров больших двоичных объектов

В этом разделе приведены примеры ограничения доступа к объектам на основе имени контейнера или пути к BLOB-объектам.

Пример. Чтение, запись и удаление BLOB-объектов в именованных контейнерах

Это условие позволяет пользователям читать, записывать и удалять BLOB-объекты в контейнерах хранилища под названием blobs-example-container. Это условие позволяет организовать совместное использование определенных контейнеров хранилища с другими пользователями в подписке.

Существует пять действий для чтения, записи и удаления существующих BLOB-объектов. Это условие нужно добавлять во все назначения ролей, которые включают одно из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов. Добавьте, если учетные записи хранения, включенные в это условие, включают иерархическое пространство имен или могут включать его в будущем.

Вложенные операции не используются в этом условии, так как подоперция необходима только в том случае, если условия создаются на основе тегов.

Схема условия, показывающая чтение, запись и удаление больших двоичных объектов в именованных контейнерах.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Удаление большого двоичного объекта Чтение большого двоичного объекта Запись в большой двоичный объект Создание большого двоичного объекта или моментального снимка или добавление данных Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Атрибут	Имя контейнера
Оператор	StringEquals
Значение	{containerName}

владелец данных BLOB-объектов хранилища;

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Участник данных хранилища BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Пример. Чтение BLOB-объектов в именованных контейнерах с указанием пути

Это условие разрешает доступ на чтение к контейнерам хранилища blobs-example-container с путем к большому двоичному объекту readonly/*. Это условие позволяет организовать совместное использование в режиме чтения определенных частей контейнеров хранилища с другими пользователями в подписке.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.
Добавьте, если учетные записи хранения, включенные в это условие, включают иерархическое пространство имен или могут включать его в будущем.

Схема условия, показывающая доступ на чтение к большим двоичным объектам в именованных контейнерах с путем.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Атрибут	Имя контейнера
Оператор	StringEquals
Значение	{containerName}
Expression 2
Оператор	And
Источник атрибута	Ресурс
Атрибут	Путь к BLOB-объектам
Оператор	StringLike
Значение	{pathString}

владелец данных BLOB-объектов хранилища;

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

средство чтения данных BLOB-объектов служба хранилища служба хранилища участник данных BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются по выражению, проверка для имени контейнера и пути.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Пример. Чтение или перечисление BLOB-объектов в именованных контейнерах с указанием пути

Это условие разрешает доступ на чтение и доступ на вывод списка к контейнерам хранилища blobs-example-container с путем к большому двоичному объекту readonly/*. Условие 1 применяется к действиям чтения, за исключением BLOB-объектов списка. Условие 2 применяется к BLOB-объектам списка. Это условие позволяет организовать совместное использование в режиме чтения или вывода списка определенных частей контейнеров хранилища с другими пользователями в подписке.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Схема условия, показывающая доступ на чтение и создание списка к большим двоичным объектам в именованных контейнерах с путем.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Примечание.

На портале Azure используется префикс='' для списка больших двоичных объектов из корневого каталога контейнера. После добавления условия с помощью операции со списком больших двоичных объектов с помощью префикса StringStartsWith readonly/целевые пользователи не смогут выводить список BLOB-объектов из корневого каталога контейнера на портале Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Атрибут	Имя контейнера
Оператор	StringEquals
Значение	{containerName}
Expression 2
Оператор	And
Источник атрибута	Ресурс
Атрибут	Путь к BLOB-объектам
Оператор	StringStartsWith
Значение	{pathString}

Условие 2	Параметр
Действия	Перечисление больших двоичных объектов Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Атрибут	Имя контейнера
Оператор	StringEquals
Значение	{containerName}
Expression 2
Оператор	And
Источник атрибута	Запросить
Атрибут	Префикс BLOB-объекта
Оператор	StringStartsWith
Значение	{pathString}

владелец данных BLOB-объектов хранилища;

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

средство чтения данных BLOB-объектов служба хранилища служба хранилища участник данных BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример. Чтение BLOB-объектов в именованных контейнерах с указанием пути

Это условие позволяет партнеру (гостевого пользователя Microsoft Entra) удалять файлы в контейнеры хранилища с именем Contosocorp путем отправки/contoso/*. С помощью этого условия можно дать другим пользователям возможность размещать данные в контейнерах хранилища.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов. Добавьте, если учетные записи хранения, включенные в это условие, включают иерархическое пространство имен или могут включать его в будущем.

Схема условия, показывающая доступ на чтение к большим двоичным объектам в именованных контейнерах с путем.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Запись в большой двоичный объект Создание большого двоичного объекта или моментального снимка или добавление данных Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Атрибут	Имя контейнера
Оператор	StringEquals
Значение	{containerName}
Expression 2
Оператор	And
Источник атрибута	Ресурс
Атрибут	Путь к BLOB-объектам
Оператор	StringLike
Значение	{pathString}

владелец данных BLOB-объектов хранилища;

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Участник данных хранилища BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов и путем

Это условие позволяет пользователю считывать BLOB-объекты с помощью ключа тега индекса BLOB-объекта Program, значения тега Alpine и пути к BLOB-объекту logs*. Путь к BLOB-объекту "logs*" также содержит имя BLOB-объекта.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, показывающая доступ на запись к большим двоичным объектам с тегом индекса большого двоичного объекта и путем.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	StringEquals
Значение	{keyValue}

Условие 2	Параметр
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Атрибут	Путь к BLOB-объектам
Оператор	StringLike
Значение	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются по выражению, которое проверка для тега и пути индекса BLOB-объектов.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как можно протестировать это условие:

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Метаданные контейнера BLOB-объектов

Пример. Чтение больших двоичных объектов в контейнере с определенными метаданными

Это условие позволяет пользователям считывать большие двоичные объекты в контейнерах БОЛЬШИХ двоичных объектов с определенной парой ключей и значений метаданных.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Атрибут	Метаданные контейнера
Оператор	StringEquals
Значение	{containerName}

читатель данных больших двоичных объектов хранилища.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Запись или удаление BLOB-объектов в контейнере с определенными метаданными

Это условие позволяет пользователям записывать или удалять большие двоичные объекты в контейнерах БОЛЬШИХ двоичных объектов с определенной парой ключей и значений метаданных.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Запись в большой двоичный объект Удаление большого двоичного объекта
Источник атрибута	Ресурс
Атрибут	Метаданные контейнера
Оператор	StringEquals
Значение	{containerName}

Участник данных хранилища BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как можно добавить это условие с помощью Azure PowerShell:

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Получение списка BLOB-объектов или моментальных снимков

В этом разделе приведены примеры ограничения доступа к объектам на основе версии или моментального снимка большого двоичного объекта.

Пример. Чтение только текущих версий BLOB-объектов

Это условие позволяет пользователю считывать только текущие версии BLOB-объектов. Пользователь не может читать другие версии BLOB-объектов.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, показывающая доступ на чтение только к текущей версии большого двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Атрибут	Текущая версия
Оператор	BoolEquals
Значение	Истина

владелец данных BLOB-объектов хранилища;

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

средство чтения данных BLOB-объектов служба хранилища служба хранилища участник данных BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются по выражению, проверка версии.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример. Чтение текущих версий BLOB-объектов и определенной версии BLOB-объекта

Это условие позволяет пользователю считывать текущие версии BLOB-объектов, а также считывать большие двоичные объекты с идентификатором версии 2022-06-01T23:38:32.8883645Z. Пользователь не может читать другие версии BLOB-объектов. Атрибут идентификатора версии доступен только для учетных записей хранения, в которых иерархическое пространство имен не включено.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Схема условия, показывающая доступ на удаление к конкретной версии большого двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта
Источник атрибута	Запросить
Атрибут	Идентификатор версии
Оператор	DateTimeEquals
Значение	<blobVersionId>
Expression 2
Оператор	Or
Источник атрибута	Ресурс
Атрибут	Текущая версия
Оператор	BoolEquals
Значение	Истина

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Большие двоичные объекты списка" разрешена, но все остальные действия чтения оцениваются в отношении выражения, которое проверка сведения о версии.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример. Удаление старых версий BLOB-объектов

Это условие позволяет пользователю удалять версии большого двоичного объекта, которые старше 06.01.2022. Атрибут идентификатора версии доступен только для учетных записей хранения, в которых иерархическое пространство имен не включено.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Схема условия, показывающая доступ на удаление к устаревшей версии большого двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Удаление большого двоичного объекта Удаление версии большого двоичного объекта
Источник атрибута	Запросить
Атрибут	Идентификатор версии
Оператор	DateTimeLessThan
Значение	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример. Чтение текущих версий BLOB-объектов и любых моментальных снимков BLOB-объектов

Это условие позволяет пользователю считывать текущие версии BLOB-объектов и любые моментальные снимки BLOB-объектов. Атрибут идентификатора версии доступен только для учетных записей хранения, в которых иерархическое пространство имен не включено. Атрибут моментального снимка доступен для учетных записей хранения, где иерархическое пространство имен не включено и в настоящее время в предварительной версии для учетных записей хранения, где включено иерархическое пространство имен.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, показывающая доступ на чтение к текущей версии большого двоичного объекта и всем моментальным снимкам больших двоичных объектов.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Запросить
Атрибут	Моментальный снимок
Exists	Помечено
Expression 2
Оператор	Or
Источник атрибута	Ресурс
Атрибут	Текущая версия
Оператор	BoolEquals
Значение	Истина

владелец данных BLOB-объектов хранилища;

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

средство чтения данных BLOB-объектов служба хранилища служба хранилища участник данных BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что разрешена операция с большими двоичными объектами списка, но все остальные действия чтения оцениваются в отношении выражения, которое проверка версии и сведения о моментальном снимке.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример. Разрешение операции с большим двоичным объектом списка для включения метаданных, моментальных снимков или версий BLOB-объектов

Это условие позволяет пользователю перечислять большие двоичные объекты в контейнере и включать метаданные, моментальные снимки и сведения о версии. Атрибут включения больших двоичных объектов списка доступен для учетных записей хранения, в которых иерархическое пространство имен не включено.

Примечание.

Список больших двоичных объектов включает атрибут запроса и работает путем разрешения или ограничения значений в параметре при вызове includeоперации "Список BLOB-объектов ". Значения в параметре сравниваются со значениями, указанными в include условии, с помощью междоменных операторов сравнения продуктов. Если сравнение оценивается как true, List Blobs запрос разрешен. Если сравнение оценивается как false, List Blobs запрос отклоняется.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Перечисление больших двоичных объектов
Источник атрибута	Запросить
Атрибут	Список больших двоичных объектов:
Оператор	ForAllOfAnyValues:StringEqualsIgnoreCase
Значение	{'metadata', 'snapshots', 'versions'}

читатель данных больших двоичных объектов хранилища.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

В этом примере условие ограничивает действие чтения при подоперации Blob.List. Это означает, что операция списка БОЛЬШИХ двоичныхinclude объектов дополнительно вычисляется по выражению, проверка значениям, но все остальные действия чтения разрешены.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример. Ограничение операции с большим двоичным объектом списка, чтобы не включать метаданные BLOB-объектов

Это условие ограничивает пользователя от перечисления больших двоичных объектов при добавлении метаданных в запрос. Атрибут включения больших двоичных объектов списка доступен для учетных записей хранения, в которых иерархическое пространство имен не включено.

Примечание.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Перечисление больших двоичных объектов
Источник атрибута	Запросить
Атрибут	Список больших двоичных объектов:
Оператор	ForAllOfAllValues:StringNotEquals
Значение	{'metadata'}

читатель данных больших двоичных объектов хранилища.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Иерархическое пространство имен

В этом разделе содержатся примеры, показывающие, как ограничить доступ к объектам в зависимости от того, включено ли иерархическое пространство имен для учетной записи хранения.

Пример. Чтение только учетных записей хранения с включенным иерархическим пространством имен

Это условие позволяет пользователю считывать BLOB-объекты только в учетных записях хранения с включенным иерархическим пространством имен. Это условие применимо только в группе ресурсов область или более поздней версии.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, где показан доступ на чтение к учетным записям хранения с включенным иерархическим пространством имен.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Атрибут	Включено ли иерархическое пространство имен
Оператор	BoolEquals
Значение	Истина

владелец данных BLOB-объектов хранилища;

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

средство чтения данных BLOB-объектов служба хранилища служба хранилища участник данных BLOB-объектов

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Область шифрования

В этом разделе приведены примеры ограничения доступа к объектам с помощью утвержденного область шифрования.

Пример. Чтение BLOB-объектов с определенными областями шифрования

Это условие позволяет пользователю считывать большие двоичные объекты, зашифрованные с помощью области шифрования validScope1 или validScope2.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, где показан доступ на чтение к большим двоичным объектам с областью шифрования validScope1 или validScope2.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Атрибут	Имя области шифрования
Оператор	ForAnyOfAnyValues:StringEquals
Значение	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция списка БОЛЬШИХ двоичных объектов разрешена, но все остальные действия чтения оцениваются в отношении выражения, которое проверка шифрует область.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример. Чтение или запись больших двоичных объектов в именованной учетной записи хранения с определенной областью шифрования

Это условие позволяет пользователю считывать или записывать большие двоичные объекты в учетной записи хранения с именем sampleaccount и шифрованием с помощью области шифрования ScopeCustomKey1. Если большие двоичные объекты не шифруются или расшифровываются с ScopeCustomKey1помощью, запрос возвращает запрещено.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Примечание.

Так как области шифрования для разных учетных записей хранения могут отличаться, рекомендуется использовать атрибут storageAccounts:name с атрибутом encryptionScopes:name, чтобы ограничить разрешенную область шифрования.

Схема условия, где показан доступ на чтение или запись к большим двоичным объектам в учетной записи хранения sampleaccount с областью шифрования ScopeCustomKey1.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение большого двоичного объекта Запись в большой двоичный объект Создание большого двоичного объекта или моментального снимка или добавление данных
Источник атрибута	Ресурс
Атрибут	Имя учетной записи
Оператор	StringEquals
Значение	<accountName>
Expression 2
Оператор	And
Источник атрибута	Ресурс
Атрибут	Имя области шифрования
Оператор	ForAnyOfAnyValues:StringEquals
Значение	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Атрибуты субъекта

В этом разделе приведены примеры ограничения доступа к объектам на основе пользовательских субъектов безопасности.

Пример. Чтение и запись больших двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности

Это условие разрешает доступ на чтение или запись к BLOB-объектам, если у пользователя есть настраиваемый атрибут безопасности, который соответствует тегу индекса BLOB-объекта.

Например, если у Ольги есть атрибут Project=Baker, она может считывать или записывать только BLOB-объекты с тегом индекса BLOB-объекта Project=Baker. Точно так же, Татьяна может считывать или записывать только BLOB-объекты с Project=Cascade.

Это условие нужно добавлять во все назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Дополнительные сведения см. в разделе Разрешение доступа на чтение к BLOB-объектам на основе тегов и настраиваемых атрибутов безопасности.

Схема условия, где показан доступ на чтение или запись к большим двоичным объектам на основе тегов индекса большого двоичного объекта и настраиваемых атрибутов безопасности.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение условий BLOB-объекта
Источник атрибута	Основной
Атрибут	<attributeset>_<key>
Оператор	StringEquals
Вариант	Атрибут
Источник атрибута	Ресурс
Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	<key>

Условие 2	Параметр
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись в большой двоичный объект с тегами индекса BLOB-объектов
Источник атрибута	Основной
Атрибут	<attributeset>_<key>
Оператор	StringEquals
Вариант	Атрибут
Источник атрибута	Запросить
Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Пример 10. Чтение к BLOB-объектов на основании тегов индексов BLOB-объектов и настраиваемых атрибутов безопасности с несколькими значениями

Это условие разрешает доступ на чтение к BLOB-объектам, если у пользователя есть настраиваемый атрибут безопасности с любыми значениями, который соответствует тегу индекса BLOB-объекта.

Например, если у Татьяны есть атрибут "Project" со значениями "Baker" и "Cascade", она может считывать только BLOB-объекты с тегом индекса BLOB-объекта Project=Baker или Project=Cascade.

Это условие нужно добавлять во все назначения ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Схема условия, где показан доступ на чтение к большим двоичным объектам на основе тегов индекса большого двоичного объекта и настраиваемых атрибутов безопасности с несколькими значениями.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие 1	Параметр
Действия	Чтение условий BLOB-объекта
Источник атрибута	Ресурс
Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	<key>
Оператор	ForAnyOfAnyValues:StringEquals
Вариант	Атрибут
Источник атрибута	Основной
Атрибут	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются по выражению, которое проверка теги индекса БОЛЬШИХ двоичных объектов и настраиваемые атрибуты безопасности.

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Атрибуты среды

В этом разделе приведены примеры ограничения доступа к объектам на основе сетевой среды или текущей даты и времени.

Пример. Разрешить доступ на чтение к BLOB-объектам после определенной даты и времени

Это условие разрешает доступ на чтение к контейнеру container1 BLOB-объектов только после 1 вечера 1 мая 2023 г. (UTC).

Существует два возможных действия для чтения существующих БОЛЬШИХ двоичных объектов. Чтобы сделать это условие эффективным для субъектов, имеющих несколько назначений ролей, необходимо добавить это условие ко всем назначениям ролей, которые включают любые из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Добавление действия

Выберите действие "Добавить", а затем выберите только подоперирование БОЛЬШОго двоичного объекта , как показано в следующей таблице.

Действие	Субоперация
Все операции чтения	Чтение BLOB-объекта

Не выбирайте действие всех операций чтения верхнего уровня или другие вложенные операции, как показано на следующем рисунке:

Создать выражение

Используйте значения в следующей таблице для создания части выражения условия:

Параметр Значение

Источник атрибута Ресурс

Атрибут Имя контейнера

Оператор StringEquals

Значение container1

Логический оператор 'AND'

Источник атрибута Среда

Атрибут UtcNow

Оператор DateTimeGreaterThan

Значение 2023-05-01T13:00:00.000Z

На следующем рисунке показано условие после ввода параметров в портал Azure. Чтобы обеспечить правильную оценку, необходимо группировать выражения.

Чтобы добавить условие с помощью редактора кода, скопируйте следующий пример кода условия и вставьте его в редактор кода. После ввода кода вернитесь в визуальный редактор, чтобы проверить его.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Вот как добавить это условие для роли чтения данных больших двоичных объектов служба хранилища с помощью Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Разрешение доступа к BLOB-объектам в определенных контейнерах из определенной подсети

Это условие позволяет читать, записывать и удалять доступ к blob-объектам container1 только из подсети default в виртуальной сети virtualnetwork1. Чтобы использовать атрибут Подсети в этом примере, подсеть должна иметь конечные точки службы, включенные для служба хранилища Azure.

Существует пять возможных действий для чтения, записи, добавления и удаления доступа к существующим BLOB-объектам. Чтобы сделать это условие эффективным для субъектов, имеющих несколько назначений ролей, необходимо добавить это условие ко всем назначениям ролей, которые включают любые из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Добавление действия

Выберите "Добавить действие", а затем выберите только действия верхнего уровня, показанные в следующей таблице.

Действие	Субоперация
Все операции чтения	Недоступно
Запись в BLOB-объект	Недоступно
Создание BLOB-центра или моментального снимка либо добавление данных	Недоступно
Удаление большого двоичного объекта	Недоступно

Не выбирайте отдельные вложенные операции, как показано на следующем рисунке:

Создать выражение

Используйте значения в следующей таблице для создания части выражения условия:

Параметр Значение

Источник атрибута Ресурс

Атрибут Имя контейнера

Оператор StringEquals

Значение container1

Логический оператор 'AND'

Источник атрибута Среда

Атрибут Подсеть

Оператор StringEqualsIgnoreCase

Значение /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

Ниже описано, как добавить это условие для роли участника данных BLOB-объектов служба хранилища с помощью Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Требовать доступ к большим двоичным объектам с высокой степенью конфиденциальности приватного канала

Для этого условия требуются запросы на чтение БОЛЬШИХ двоичных объектов, где конфиденциальность тега индекса BLOB-объектов имеет значение high для приватного канала (любая частная ссылка). Это означает, что все попытки чтения высокочувствительных BLOB-объектов из общедоступного Интернета не будут разрешены. Пользователи могут считывать большие двоичные объекты из общедоступного Интернета, которые имеют значение, отличное от highзначения.

Ниже приведена таблица истины для этого примера ABAC:

Действий	Конфиденциальность	Приватный канал	Доступа
Чтение большого двоичного объекта	Высокой	Да	Допустимо
Чтение большого двоичного объекта	Высокой	No	Запрещено
Чтение большого двоичного объекта	НЕ высокий	Да	Допустимо
Чтение BLOB-объекта	НЕ высокий	No	Допустимо

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Ниже приведены параметры для добавления этого условия с помощью редактора визуальных условий в портал Azure.

Добавление действия

Действие	Субоперация
Все операции чтения	Чтение BLOB-объекта

Не выбирайте действие всех операций чтения верхнего уровня других вложенных операций, как показано на следующем рисунке:

Создать выражение

Используйте значения в следующей таблице для создания части выражения условия:

Группа Параметр Значение

Группа #1

Источник атрибута Ресурс

Атрибут Теги индекса BLOB-объектов [Значения в ключе]

Ключ sensitivity

Оператор StringEquals

Значение high

Логический оператор 'AND'

Источник атрибута Среда

Атрибут Приватный канал

Оператор BoolEquals

Значение True

Конец группы #1

Логический оператор 'OR'

Источник атрибута Ресурс

Атрибут Теги индекса BLOB-объектов [Значения в ключе]

Ключ sensitivity

Оператор StringNotEquals

Значение high

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Разрешить доступ к контейнеру только из конкретной частной конечной точки

Для этого условия требуется, чтобы все операции чтения, записи, добавления и удаления больших двоичных объектов в контейнере хранилища были сделаны через частную конечную точку с именем container1privateendpoint1. Для всех остальных контейнеров, не именованных container1, доступ не требуется через частную конечную точку.

Существует пять возможных действий для чтения, записи и удаления существующих больших двоичных объектов. Чтобы сделать это условие эффективным для субъектов, имеющих несколько назначений ролей, необходимо добавить это условие ко всем назначениям ролей, которые включают любые из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов. Добавьте, если учетные записи хранения, включенные в это условие, включают иерархическое пространство имен или могут включать его в будущем.

Ниже приведены параметры для добавления этого условия с помощью редактора визуальных условий в портал Azure.

Добавление действия

Действие	Субоперация
Все операции чтения	Недоступно
Запись в BLOB-объект	Недоступно
Создание BLOB-центра или моментального снимка либо добавление данных	Недоступно
Удаление большого двоичного объекта	Недоступно

Не выбирайте отдельные вложенные операции, как показано на следующем рисунке:

Создать выражение

Используйте значения в следующей таблице для создания части выражения условия:

Группа Параметр Значение

Группа #1

Источник атрибута Ресурс

Атрибут Имя контейнера

Оператор StringEquals

Значение container1

Логический оператор 'AND'

Источник атрибута Среда

Атрибут Частная конечная точка

Оператор StringEqualsIgnoreCase

Значение /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Конец группы #1

Логический оператор 'OR'

Источник атрибута Ресурс

Атрибут Имя контейнера

Оператор StringNotEquals

Значение container1

Чтобы добавить условие с помощью редактора кода, выберите один из следующих примеров кода условия в зависимости от роли, связанной с назначением. После ввода кода вернитесь в визуальный редактор, чтобы проверить его.

Владелец данных BLOB-объектов хранилища.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Участник для данных BLOB-объектов хранилища.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Разрешить доступ для чтения к конфиденциальным данным BLOB-объектов только из конкретной частной конечной точки и пользователями, помеченными для доступа

Это условие требует, чтобы большие двоичные объекты с набором конфиденциальности тегов индекса могли читаться только пользователями, имеющими соответствующее значение для атрибута безопасности конфиденциальности.high Кроме того, они должны быть доступны через частную конечную точку с именем privateendpoint1. Большие двоичные объекты, имеющие другое значение для тега конфиденциальности , можно получить через другие конечные точки или Интернет.

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Добавьте, если определение роли включает это действие, например служба хранилища владельца данных BLOB-объектов.

Ниже приведены параметры для добавления этого условия с помощью редактора визуальных условий в портал Azure.

Добавление действия

Действие	Субоперация
Все операции чтения	Чтение BLOB-объекта

Не выбирайте действие верхнего уровня, как показано на следующем рисунке:

Создать выражение

Используйте значения в следующей таблице для создания части выражения условия:

Группа	Параметр	Значение
Группа #1
	Источник атрибута	Основной
	Атрибут	<attributeset>_<key>
	Оператор	StringEquals
	Вариант	Атрибут
	Логический оператор	'AND'
	Источник атрибута	Ресурс
	Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
	Ключ	<key>
	Логический оператор	'AND'
	Источник атрибута	Среда
	Атрибут	Частная конечная точка
	Оператор	StringEqualsIgnoreCase
	Значение	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Конец группы #1
	Логический оператор	'OR'
	Источник атрибута	Ресурс
	Атрибут	Теги индекса BLOB-объектов [Значения в ключе]
	Ключ	`sensitivity`
	Оператор	StringNotEquals
	Значение	`high`

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Дополнительные сведения о форматировании и оценке условий см . в формате условий.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Поделиться через

Пример условий назначения ролей Azure для служба хранилища BLOB-объектов

Необходимые компоненты

Сводка примеров в этой статье

Теги индекса BLOB-объектов

Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов

Пример. Новые BLOB-объекты должны содержать тег индекса BLOB-объекта

Пример. Существующие BLOB-объекты должны содержать ключи тегов индексов BLOB-объектов

Пример. Существующие BLOB-объекты должны содержать ключ и значения тегов индексов BLOB-объектов

Имена или пути контейнеров больших двоичных объектов

Пример. Чтение, запись и удаление BLOB-объектов в именованных контейнерах

Пример. Чтение BLOB-объектов в именованных контейнерах с указанием пути

Пример. Чтение или перечисление BLOB-объектов в именованных контейнерах с указанием пути

Пример. Чтение BLOB-объектов в именованных контейнерах с указанием пути

Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов и путем

Метаданные контейнера BLOB-объектов

Пример. Чтение больших двоичных объектов в контейнере с определенными метаданными

Пример. Запись или удаление BLOB-объектов в контейнере с определенными метаданными

Получение списка BLOB-объектов или моментальных снимков

Пример. Чтение только текущих версий BLOB-объектов

Пример. Чтение текущих версий BLOB-объектов и определенной версии BLOB-объекта

Пример. Удаление старых версий BLOB-объектов

Пример. Чтение текущих версий BLOB-объектов и любых моментальных снимков BLOB-объектов

Пример. Разрешение операции с большим двоичным объектом списка для включения метаданных, моментальных снимков или версий BLOB-объектов

Пример. Ограничение операции с большим двоичным объектом списка, чтобы не включать метаданные BLOB-объектов

Иерархическое пространство имен

Пример. Чтение только учетных записей хранения с включенным иерархическим пространством имен

Область шифрования

Пример. Чтение BLOB-объектов с определенными областями шифрования

Пример. Чтение или запись больших двоичных объектов в именованной учетной записи хранения с определенной областью шифрования

Атрибуты субъекта

Пример. Чтение и запись больших двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности

Пример 10. Чтение к BLOB-объектов на основании тегов индексов BLOB-объектов и настраиваемых атрибутов безопасности с несколькими значениями

Атрибуты среды

Пример. Разрешить доступ на чтение к BLOB-объектам после определенной даты и времени

Добавление действия

Создать выражение

Пример. Разрешение доступа к BLOB-объектам в определенных контейнерах из определенной подсети

Добавление действия

Создать выражение

Пример. Требовать доступ к большим двоичным объектам с высокой степенью конфиденциальности приватного канала

Добавление действия

Создать выражение

Пример. Разрешить доступ к контейнеру только из конкретной частной конечной точки

Добавление действия

Создать выражение

Пример. Разрешить доступ для чтения к конфиденциальным данным BLOB-объектов только из конкретной частной конечной точки и пользователями, помеченными для доступа

Добавление действия

Создать выражение

Следующие шаги

Дополнительные ресурсы