Dela via


Exempel på villkor för Azure-rolltilldelning för Blob Storage

Den här artikeln innehåller några exempel på rolltilldelningsvillkor för att styra åtkomsten till Azure Blob Storage.

Viktigt!

Azure-attributbaserad åtkomstkontroll (Azure ABAC) är allmänt tillgänglig (GA) för att styra åtkomsten till Azure Blob Storage, Azure Data Lake Storage Gen2 och Azure Queues med hjälp av request, resourceoch environmentprincipal attribut på prestandanivåerna för både standard- och Premium Storage-konton. För närvarande finns resursattributet för containermetadata och listbloben med begärandeattributet i FÖRHANDSVERSION. Fullständig information om funktionsstatus för ABAC för Azure Storage finns i Status för villkorsfunktioner i Azure Storage.

Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Förutsättningar

Information om kraven för att lägga till eller redigera rolltilldelningsvillkor finns i Villkorskrav.

Sammanfattning av exempel i den här artikeln

Använd följande tabell för att snabbt hitta ett exempel som passar ditt ABAC-scenario. Tabellen innehåller en kort beskrivning av scenariot, plus en lista över attribut som används i exemplet efter källa (miljö, huvudnamn, begäran och resurs).

Exempel Environment Huvudkonto Förfrågan Resurs
Läsa blobar med en blobindextagg taggar
Nya blobar måste innehålla en blobindextagg taggar
Befintliga blobar måste ha taggnycklar för blobindex taggar
Befintliga blobar måste ha en blobindextaggnyckel och värden taggar
Läsa, skriva eller ta bort blobar i namngivna containrar containernamn
Läsa blobar i namngivna containrar med en sökväg blobsökväg för containernamn
Läsa eller lista blobar i namngivna containrar med en sökväg blobprefix blobsökväg för containernamn
Skriva blobar i namngivna containrar med en sökväg blobsökväg för containernamn
Läsa blobar med en blobindextagg och en sökväg taggar
blobsökväg
Läsa blobar i container med specifika metadata containermetadata
Skriva eller ta bort blobar i containern med specifika metadata containermetadata
Skrivskyddade aktuella blobversioner isCurrentVersion
Läsa aktuella blobversioner och en specifik blobversion versionId isCurrentVersion
Ta bort gamla blobversioner versionId
Läsa aktuella blobversioner och eventuella blobögonblicksbilder ögonblicksbild isCurrentVersion
Tillåt listblobåtgärd för att inkludera blobmetadata, ögonblicksbilder eller versioner ta med listblob
Begränsa listblobåtgärden till att inte inkludera blobmetadata ta med listblob
Skrivskyddade lagringskonton med hierarkiskt namnområde aktiverat isHnsEnabled
Läsa blobar med specifika krypteringsomfång Namn på krypteringsomfång
Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång Namn på krypteringsomfång för lagringskonto
Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut ID taggar taggar
Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden ID taggar
Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid UtcNow containernamn
Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät Undernät containernamn
Kräv åtkomst till privat länk för att läsa blobar med hög känslighet isPrivateLink taggar
Tillåt endast åtkomst till en container från en specifik privat slutpunkt Privat slutpunkt containernamn
Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst Privat slutpunkt ID taggar

Blobindextaggar

Det här avsnittet innehåller exempel på blobindextaggar.

Viktigt!

Även om underåtgärden Read content from a blob with tag conditions för närvarande stöds för kompatibilitet med villkor som implementerades under förhandsversionen av ABAC-funktionen har den blivit inaktuell och Microsoft rekommenderar att du använder åtgärden Read a blob i stället.

När du konfigurerar ABAC-villkor i Azure-portalen kan du se INAKTUELL: Läsa innehåll från en blob med taggvillkor. Microsoft rekommenderar att du tar bort åtgärden och ersätter den med åtgärden Read a blob .

Om du skapar ett eget villkor där du vill begränsa läsåtkomsten efter taggvillkor kan du läsa exempel: Läsa blobar med en blobindextagg.

Exempel: Läsa blobar med en blobindextagg

Det här villkoret gör det möjligt för användare att läsa blobar med en blobindextaggnyckel för Project och värdet Cascade. Försök att komma åt blobar utan den här nyckel/värde-taggen tillåts inte.

För att det här villkoret ska gälla för ett säkerhetsobjekt måste du lägga till det i alla rolltilldelningar för dem som innehåller följande åtgärder:

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med en blobindextagg.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av det visuella Redigeringsprogrammet för Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel {keyName}
Operator StringEquals
Värde {keyValue}

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsåtkomst till blobar med en blobindextagg.

Exempel: Nya blobar måste innehålla en blobindextagg

Det här villkoret kräver att alla nya blobar måste innehålla en blobindextaggnyckel för Project och värdet Kaskad.

Det finns två åtgärder som gör att du kan skapa nya blobar, så du måste rikta in dig på båda. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder:

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Villkorsdiagram som visar nya blobar måste innehålla en blobindextagg.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Skriva till en blob med blobindextaggar
Skriva till en blob med blobindextaggar
Attributkälla Förfrågan
Attribut Blobindextaggar [Värden i nyckel]
Nyckel {keyName}
Operator StringEquals
Värde {keyValue}

Skärmbild av villkorsredigeraren i Azure-portalen som visar att nya blobar måste innehålla en blobindextagg.

Exempel: Befintliga blobar måste ha blobindextaggnycklar

Det här villkoret kräver att alla befintliga blobar taggas med minst en av de tillåtna blobindextaggnycklarna : Project eller Program. Det här villkoret är användbart för att lägga till styrning i befintliga blobar.

Det finns två åtgärder som gör att du kan uppdatera taggar på befintliga blobar, så du måste rikta in dig på båda. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder:

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar befintliga blobar måste ha blobindextaggnycklar.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Skriva till en blob med blobindextaggar
Skriva blobindextaggar
Attributkälla Förfrågan
Attribut Blobindextaggar [Nycklar]
Operator ForAllOfAnyValues:StringEquals
Värde {keyName1}
{keyName2}

Skärmbild av villkorsredigeraren i Azure-portalen som visar att befintliga blobar måste ha blobindextaggnycklar.

Exempel: Befintliga blobar måste ha en blobindextaggnyckel och värden

Det här villkoret kräver att alla befintliga blobar har en blobindextaggnyckel för Project och värden för Cascade, Baker eller Skagit. Det här villkoret är användbart för att lägga till styrning i befintliga blobar.

Det finns två åtgärder som gör att du kan uppdatera taggar på befintliga blobar, så du måste rikta in dig på båda. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar befintliga blobar måste ha en blobindextaggnyckel och värden.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Skriva till en blob med blobindextaggar
Skriva blobindextaggar
Attributkälla Förfrågan
Attribut Blobindextaggar [Nycklar]
Operator ForAnyOfAnyValues:StringEquals
Värde {keyName}
Operator och
Expression 2
Attributkälla Förfrågan
Attribut Blobindextaggar [Värden i nyckel]
Nyckel {keyName}
Operator ForAllOfAnyValues:StringEquals
Värde {keyValue1}
{keyValue2}
{keyValue3}

Skärmbild av villkorsredigeraren i Azure-portalen som visar befintliga blobar måste ha en nyckel och värden för blobindextaggen.

Namn eller sökvägar för blobcontainer

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på containernamn eller blobsökväg.

Exempel: Läsa, skriva eller ta bort blobar i namngivna containrar

Med det här villkoret kan användare läsa, skriva eller ta bort blobar i lagringscontainrar med namnet blobs-example-container. Det här villkoret är användbart för att dela specifika lagringscontainrar med andra användare i en prenumeration.

Det finns fem åtgärder för att läsa, skriva och ta bort befintliga blobar. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.
Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Underåtgärder används inte i det här villkoret eftersom underåtgärden endast behövs när villkor skapas baserat på taggar.

Diagram över villkor som visar läsning, skrivning eller borttagning av blobar i namngivna containrar.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsning, skrivning eller borttagning av blobar i namngivna containrar.

Exempel: Läsa blobar i namngivna containrar med en sökväg

Det här villkoret tillåter läsåtkomst till lagringscontainrar med namnet blobs-example-container med en blobsökväg med readonly/*. Det här villkoret är användbart för att dela specifika delar av lagringscontainrar för läsåtkomst med andra användare i prenumerationen.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.
Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar läsåtkomst till blobar i namngivna containrar med en sökväg.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla Resurs
Attribut Containernamn
Operator StringEquals
Värde {containerName}
Expression 2
Operator och
Attributkälla Resurs
Attribut Blobsökväg
Operator StringLike
Värde {pathString}

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsåtkomst till blobar i namngivna containrar med en sökväg.

Exempel: Läsa eller lista blobar i namngivna containrar med en sökväg

Det här villkoret tillåter läsåtkomst och liståtkomst till lagringscontainrar med namnet blobs-example-container med en blobsökväg med readonly/*. Villkor nr 1 gäller för läsåtgärder exklusive listblobar. Villkor nr 2 gäller för listblobar. Det här villkoret är användbart för att dela specifika delar av lagringscontainrar för läs- eller liståtkomst med andra användare i prenumerationen.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.
Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar läs- och liståtkomst till blobar i namngivna containrar med en sökväg.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Kommentar

Azure-portalen använder prefix='' för att lista blobar från containerns rotkatalog. När villkoret har lagts till med listblobbåtgärden med prefixet StringStartsWith "readonly/" kommer målanvändare inte att kunna lista blobar från containerns rotkatalog i Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla Resurs
Attribut Containernamn
Operator StringEquals
Värde {containerName}
Expression 2
Operator och
Attributkälla Resurs
Attribut Blobsökväg
Operator StringStartsWith
Värde {pathString}
Villkor nr 2 Inställning
Åtgärder Lista blobar
Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla Resurs
Attribut Containernamn
Operator StringEquals
Värde {containerName}
Expression 2
Operator och
Attributkälla Förfrågan
Attribut Blobprefix
Operator StringStartsWith
Värde {pathString}

Exempel: Skriva blobar i namngivna containrar med en sökväg

Med det här villkoret kan en partner (en Microsoft Entra-gästanvändare) släppa filer i lagringscontainrar med namnet Contosocorp med en sökväg för uppladdningar/contoso/*. Det här villkoret är användbart för att tillåta andra användare att placera data i lagringscontainrar.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.
Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar skrivåtkomst till blobar i namngivna containrar med en sökväg.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Skriva till en blob
Skapa en blob eller ögonblicksbild eller lägga till data
Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla Resurs
Attribut Containernamn
Operator StringEquals
Värde {containerName}
Expression 2
Operator och
Attributkälla Resurs
Attribut Blobsökväg
Operator StringLike
Värde {pathString}

Skärmbild av villkorsredigeraren i Azure-portalen som visar skrivåtkomst till blobar i namngivna containrar med en sökväg.

Exempel: Läsa blobar med en blobindextagg och en sökväg

Med det här villkoret kan en användare läsa blobar med en blobindextaggnyckel för Program, värdet Alpine och en blobsökväg med loggar*. Blobsökvägen för loggar* innehåller även blobnamnet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med en blobindextagg och en sökväg.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel {keyName}
Operator StringEquals
Värde {keyValue}

Skärmbild av villkor 1-redigeraren i Azure-portalen som visar läsåtkomst till blobar med en blobindextagg och en sökväg.

Villkor nr 2 Inställning
Åtgärder Läsa en blob
Attributkälla Resurs
Attribut Blobsökväg
Operator StringLike
Värde {pathString}

Skärmbild av villkor 2-redigeraren i Azure-portalen som visar läsåtkomst till blobar med en blobindextagg och en sökväg.

Metadata för blobcontainer

Exempel: Läsa blobar i container med specifika metadata

Med det här villkoret kan användare läsa blobar i blobcontainrar med ett specifikt nyckel-/värdepar för metadata.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Attributkälla Resurs
Attribut Containermetadata
Operator StringEquals
Värde {containerName}

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsblob i container med specifika metadata.

Exempel: Skriva eller ta bort blobar i container med specifika metadata

Med det här villkoret kan användare skriva eller ta bort blobar i blobcontainrar med ett specifikt nyckel-/värdepar för metadata.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Skriva till en blob
Ta bort en blob
Attributkälla Resurs
Attribut Containermetadata
Operator StringEquals
Värde {containerName}

Skärmbild av villkorsredigeraren i Azure-portalen som visar skriv- och borttagningsblob i container med specifika metadata.

Blobversioner eller blobögonblicksbilder

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på blobversionen eller ögonblicksbilden.

Exempel: Skrivskyddade aktuella blobversioner

Med det här villkoret kan en användare bara läsa aktuella blobversioner. Användaren kan inte läsa andra blobversioner.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar skrivskyddad åtkomst till den aktuella blobversionen.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla Resurs
Attribut Är aktuell version
Operator BoolEquals
Värde Sant

Exempel: Läsa aktuella blobversioner och en specifik blobversion

Med det här villkoret kan en användare läsa aktuella blobversioner och läsa blobar med versions-ID:t 2022-06-01T23:38:32.8883645Z. Användaren kan inte läsa andra blobversioner. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Diagram över villkor som visar läsåtkomst till en specifik blobversion.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Attributkälla Förfrågan
Attribut Versions-ID
Operator DateTimeEquals
Värde <blobVersionId>
Expression 2
Operator Eller
Attributkälla Resurs
Attribut Är aktuell version
Operator BoolEquals
Värde Sant

Exempel: Ta bort gamla blobversioner

Med det här villkoret kan en användare ta bort versioner av en blob som är äldre än 2022-06-01 för att utföra rensning. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Diagram över villkor som visar borttagning av åtkomst till gamla blobversioner.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Ta bort en blob
Ta bort en version av en blob
Attributkälla Förfrågan
Attribut Versions-ID
Operator DateTimeLessThan
Värde <blobVersionId>

Exempel: Läsa aktuella blobversioner och eventuella blobögonblicksbilder

Med det här villkoret kan en användare läsa aktuella blobversioner och eventuella ögonblicksbilder av blobar. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat. Attributet Ögonblicksbild är tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat och för närvarande är i förhandsversion för lagringskonton där hierarkiskt namnområde är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till aktuella blobversioner och eventuella ögonblicksbilder av blobar.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla Förfrågan
Attribut Ögonblicksbild
Exists Kontrolleras
Expression 2
Operator Eller
Attributkälla Resurs
Attribut Är aktuell version
Operator BoolEquals
Värde Sant

Exempel: Tillåt att listblobåtgärden inkluderar blobmetadata, ögonblicksbilder eller versioner

Med det här villkoret kan en användare lista blobar i en container och inkludera metadata, ögonblicksbilder och versionsinformation. Inkluderingsattributet Listblobar är tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Kommentar

Listblobar är ett begärandeattribut och fungerar genom att tillåta eller begränsa värden i parametern include när listblobar anropas. Värdena i parametern include jämförs med de värden som anges i villkoret med hjälp av jämförelseoperatorer mellan produkter. Om jämförelsen utvärderas till true tillåts List Blobs begäran. Om jämförelsen utvärderas till false List Blobs nekas begäran.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Lista blobar
Attributkälla Förfrågan
Attribut Ta med listblobar
Operator ForAllOfAnyValues:StringEqualsIgnoreCase
Värde {'metadata', 'snapshots', 'versions'}

Skärmbild av villkorsredigeraren i Azure-portalen som visar ett villkor för att tillåta en användare att lista blobar i en container och inkludera metadata, ögonblicksbilder och versionsinformation.

Exempel: Begränsa listblobåtgärden till att inte inkludera blobmetadata

Det här villkoret hindrar en användare från att lista blobar när metadata ingår i begäran. Inkluderingsattributet Listblobar är tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Kommentar

Listblobar är ett begärandeattribut och fungerar genom att tillåta eller begränsa värden i parametern include när listblobar anropas. Värdena i parametern include jämförs med de värden som anges i villkoret med hjälp av jämförelseoperatorer mellan produkter. Om jämförelsen utvärderas till true tillåts List Blobs begäran. Om jämförelsen utvärderas till false List Blobs nekas begäran.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Lista blobar
Attributkälla Förfrågan
Attribut Ta med listblobar
Operator ForAllOfAllValues:StringNotEquals
Värde {'metadata'}

Skärmbild av villkorsredigeraren i Azure-portalen som visar ett villkor för att hindra en användare från att lista blobar när metadata ingår i begäran.

Hierarkisk namnrymd

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på om hierarkiskt namnområde är aktiverat för ett lagringskonto.

Exempel: Skrivskyddade lagringskonton med hierarkiskt namnområde aktiverat

Med det här villkoret kan en användare endast läsa blobar i lagringskonton med hierarkiskt namnområde aktiverat. Det här villkoret gäller endast i resursgruppsomfång eller högre.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till lagringskonton med hierarkiskt namnområde aktiverat.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla Resurs
Attribut Är hierarkiskt namnområde aktiverat
Operator BoolEquals
Värde Sant

Krypteringsomfång

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt med ett godkänt krypteringsomfång.

Exempel: Läsa blobar med specifika krypteringsomfång

Med det här villkoret kan en användare läsa blobar som krypterats med krypteringsomfång validScope1 eller validScope2.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med krypteringsomfånget validScope1 eller validScope2.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Attributkälla Resurs
Attribut Namn på krypteringsomfång
Operator ForAnyOfAnyValues:StringEquals
Värde <scopeName>

Exempel: Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång

Med det här villkoret kan en användare läsa eller skriva blobar i ett lagringskonto med namnet sampleaccount och krypterat med krypteringsomfånget ScopeCustomKey1. Om blobar inte krypteras eller dekrypteras med ScopeCustomKey1returnerar begäran förbjudet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Kommentar

Eftersom krypteringsomfången för olika lagringskonton kan vara olika rekommenderar vi att du använder storageAccounts:name attributet med encryptionScopes:name attributet för att begränsa det specifika krypteringsomfång som ska tillåtas.

Diagram över villkor som visar läs- eller skrivåtkomst till blobar i sampleaccount-lagringskontot med krypteringsomfånget ScopeCustomKey1.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob
Skriva till en blob
Skapa en blob eller ögonblicksbild eller lägga till data
Attributkälla Resurs
Attribut Kontonamn
Operator StringEquals
Värde <accountName>
Expression 2
Operator och
Attributkälla Resurs
Attribut Namn på krypteringsomfång
Operator ForAnyOfAnyValues:StringEquals
Värde <scopeName>

Huvudattribut

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på anpassade säkerhetsobjekt.

Exempel: Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut

Det här villkoret tillåter läs- eller skrivåtkomst till blobar om användaren har ett anpassat säkerhetsattribut som matchar blobindextaggen.

Om Till exempel Brenda har attributet Project=Bakerkan hon bara läsa eller skriva blobar med Project=Baker blobindextaggen. På samma sätt kan Chandra bara läsa eller skriva blobar med Project=Cascade.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Mer information finns i Tillåt läsåtkomst till blobar baserat på taggar och anpassade säkerhetsattribut.

Diagram över villkor som visar läs- eller skrivåtkomst till blobar baserat på blobindextaggar och anpassade säkerhetsattribut.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob-villkor
Attributkälla Främsta
Attribut <attributeset>_<key>
Operator StringEquals
Alternativ Attribut
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel <nyckel>
Villkor nr 2 Inställning
Åtgärder Skriva till en blob med blobindextaggar
Skriva till en blob med blobindextaggar
Attributkälla Främsta
Attribut <attributeset>_<key>
Operator StringEquals
Alternativ Attribut
Attributkälla Förfrågan
Attribut Blobindextaggar [Värden i nyckel]
Nyckel <nyckel>

Exempel: Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden

Det här villkoret tillåter läsåtkomst till blobar om användaren har ett anpassat säkerhetsattribut med värden som matchar blobindextaggen.

Om Chandra till exempel har project-attributet med värdena Baker och Cascade kan hon bara läsa blobar med Project=Baker blobindextaggen eller Project=Cascade blobindexet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Mer information finns i Tillåt läsåtkomst till blobar baserat på taggar och anpassade säkerhetsattribut.

Diagram över villkor som visar läsåtkomst till blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1 Inställning
Åtgärder Läsa en blob-villkor
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel <nyckel>
Operator ForAnyOfAnyValues:StringEquals
Alternativ Attribut
Attributkälla Främsta
Attribut <attributeset>_<key>

Miljöattribut

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på nätverksmiljön eller aktuellt datum och tid.

Exempel: Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid

Det här villkoret tillåter läsåtkomst till blobcontainer container1 först efter 13.00 den 1 maj 2023 Universal Coordinated Time (UTC).

Det finns två möjliga åtgärder för att läsa befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd Underoperation
Alla läsåtgärder Läsa en blob

Välj inte åtgärden Alla läsåtgärder på den översta nivån eller andra underåtgärder enligt följande bild:

Skärmbild av villkorsredigeraren i Azure-portalen som visar valet av bara läsåtgärden.

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Inställning Värde
Attributkälla Resurs
Attribut Containernamn
Operator StringEquals
Värde container1
Logiska operatorer "OCH"
Attributkälla Miljö
Attribut UtcNow
Operator DateTimeGreaterThan
Värde 2023-05-01T13:00:00.000Z

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsåtkomst som tillåts efter ett visst datum och en viss tid.

Exempel: Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät

Det här villkoret tillåter läs-, skriv-, tilläggs- och borttagningsåtkomst till blobbar i endast från undernät default i container1 det virtuella nätverket virtualnetwork1. Om du vill använda undernätsattributet i det här exemplet måste undernätet ha tjänstslutpunkter aktiverade för Azure Storage.

Det finns fem potentiella åtgärder för att läsa, skriva, lägga till och ta bort åtkomst till befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast de åtgärder på den översta nivån som visas i följande tabell.

Åtgärd Underoperation
Alla läsåtgärder n/a
Skriva till en blob n/a
Skapa en blob eller ögonblicksbild eller lägga till data n/a
Ta bort en blob n/a

Välj inte några enskilda underåtgärder som visas i följande bild:

Skärmbild av villkorsredigeraren i Azure-portalen som visar val av läs-, skriv-, tilläggs- och borttagningsåtgärder.

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Inställning Värde
Attributkälla Resurs
Attribut Containernamn
Operator StringEquals
Värde container1
Logiska operatorer "OCH"
Attributkälla Miljö
Attribut Undernät
Operator StringEqualsIgnoreCase
Värde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsåtkomst till specifika containrar som tillåts från ett visst undernät.

Det här villkoret kräver begäranden om att läsa blobar där blobindextaggens känslighet har värdet high att vara via en privat länk (alla privata länkar). Det innebär att alla försök att läsa mycket känsliga blobar från det offentliga Internet inte tillåts. Användare kan läsa blobar från det offentliga Internet som har känslighet inställt på något annat värde än high.

En sanningstabell för det här ABAC-exempelvillkoret följer:

Åtgärder Känslighet Privat länk Tillgång
Läsa en blob Hög Ja Tillåtet
Läsa en blob Hög Nej Ej tillåtet
Läsa en blob INTE högt Ja Tillåtet
Läsa en blob INTE högt Nej Tillåtet

Det finns två möjliga åtgärder för att läsa befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd Underoperation
Alla läsåtgärder Läsa en blob

Välj inte åtgärden Alla läsåtgärder på den översta nivån för andra underåtgärder enligt följande bild:

Skärmbild av villkorsredigeraren i Azure-portalen som visar valet av bara läsåtgärden.

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp Inställning Värde
Grupp nr 1
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel sensitivity
Operator StringEquals
Värde high
Logiska operatorer "OCH"
Attributkälla Miljö
Attribut Är privat länk
Operator BoolEquals
Värde True
Slut på grupp nr 1
Logiska operatorer "OR"
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel sensitivity
Operator StringNotEquals
Värde high

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsåtkomst som kräver en privat länk för känsliga data.

Exempel: Tillåt endast åtkomst till en container från en specifik privat slutpunkt

Det här villkoret kräver att alla läs-, skriv-, tilläggs- och borttagningsåtgärder för blobar i en lagringscontainer med namnet container1 görs via en privat slutpunkt med namnet privateendpoint1. För alla andra containrar som inte heter container1behöver åtkomsten inte vara via den privata slutpunkten.

Det finns fem möjliga åtgärder för att läsa, skriva och ta bort befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.
Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast de åtgärder på den översta nivån som visas i följande tabell.

Åtgärd Underoperation
Alla läsåtgärder n/a
Skriva till en blob n/a
Skapa en blob eller ögonblicksbild eller lägga till data n/a
Ta bort en blob n/a

Välj inte några enskilda underåtgärder som visas i följande bild:

Skärmbild av villkorsredigeraren i Azure-portalen som visar val av läs-, skriv-, tilläggs- och borttagningsåtgärder.

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp Inställning Värde
Grupp nr 1
Attributkälla Resurs
Attribut Containernamn
Operator StringEquals
Värde container1
Logiska operatorer "OCH"
Attributkälla Miljö
Attribut Privat slutpunkt
Operator StringEqualsIgnoreCase
Värde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Slut på grupp nr 1
Logiska operatorer "OR"
Attributkälla Resurs
Attribut Containernamn
Operator StringNotEquals
Värde container1

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsning, skrivning eller borttagning av blobar i namngivna containrar med attributet privat slutpunktsmiljö.

Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst

Det här villkoret kräver att blobar med indextaggens känslighet inställd high på kan läsas endast av användare som har ett matchande värde för sitt känslighetssäkerhetsattribut . Dessutom måste de nås via en privat slutpunkt med namnet privateendpoint1. Blobar som har ett annat värde för känslighetstaggen kan nås via andra slutpunkter eller Internet.

Det finns två möjliga åtgärder för att läsa befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd Kommentar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd Underoperation
Alla läsåtgärder Läsa en blob

Välj inte åtgärden på den översta nivån enligt följande bild:

Skärmbild av villkorsredigeraren i Azure-portalen som visar val av läsåtgärd för en blob.

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp Inställning Värde
Grupp nr 1
Attributkälla Främsta
Attribut <attributeset>_<key>
Operator StringEquals
Alternativ Attribut
Logiska operatorer "OCH"
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel <nyckel>
Logiska operatorer "OCH"
Attributkälla Miljö
Attribut Privat slutpunkt
Operator StringEqualsIgnoreCase
Värde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Slut på grupp nr 1
Logiska operatorer "OR"
Attributkälla Resurs
Attribut Blobindextaggar [Värden i nyckel]
Nyckel sensitivity
Operator StringNotEquals
Värde high

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Skärmbild av villkorsredigeraren i Azure-portalen som visar läsåtkomst som tillåts via en specifik privat slutpunkt för taggade användare.

Nästa steg