Blob Depolama için örnek Azure rol atama koşulları

  • Makale

Bu makalede, Azure Blob Depolama erişimi denetlemeye yönelik rol atama koşullarına ilişkin bazı örnekler listeleniyor.

Önemli

Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için bkz. Azure Depolama koşul özelliklerinin durumu.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önkoşullar

Rol atama koşullarını ekleme veya düzenleme önkoşulları hakkında bilgi için bkz . Koşullar önkoşulları.

Bu makaledeki örneklerin özeti

ABAC senaryonuza uygun bir örneği hızla bulmak için aşağıdaki tabloyu kullanın. Tablo senaryonun kısa bir açıklamasının yanı sıra örnekte kaynağa (ortam, sorumlu, istek ve kaynak) göre kullanılan özniteliklerin listesini içerir.

Örnek Ortam Asıl İstek Kaynak
Blob dizin etiketiyle blobları okuma tags
Yeni bloblar blob dizin etiketi içermelidir tags
Mevcut blobların blob dizin etiketi anahtarları olmalıdır tags
Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır tags
Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme kapsayıcı adı
Adlandırılmış kapsayıcılardaki blobları bir yol ile okuma kapsayıcı adı
blob yolu
Adlandırılmış kapsayıcılardaki blobları bir yol ile okuma veya listeleme blob ön eki kapsayıcı adı
blob yolu
Adlandırılmış kapsayıcılarda bir yol ile blob yazma kapsayıcı adı
blob yolu
Blob dizin etiketi ve yolu olan blobları okuma etiketler
blob yolu
Kapsayıcıdaki blobları belirli meta verilere sahip okuma kapsayıcı meta verileri
Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme kapsayıcı meta verileri
Salt okunur geçerli blob sürümleri isCurrentVersion
Geçerli blob sürümlerini ve belirli bir blob sürümünü okuma versionId isCurrentVersion
Eski blob sürümlerini silme versionId
Geçerli blob sürümlerini ve blob anlık görüntülerini okuma anlık görüntü isCurrentVersion
Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver liste blobu ekleme
Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama liste blobu ekleme
Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları isHnsEnabled
Belirli şifreleme kapsamlarına sahip blobları okuma Şifreleme kapsamı adı
Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma Depolama hesap adı
Şifreleme kapsamı adı
Blob dizin etiketlerini ve özel güvenlik özniteliklerini temel alan blobları okuma veya yazma Kimlik tags tags
Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma Kimlik tags
Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme UtcNow kapsayıcı adı
Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme Alt ağ kapsayıcı adı
Yüksek hassasiyete sahip okuma bloblarına özel bağlantı erişimi gerektirme isPrivateLink tags
Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme Özel uç nokta kapsayıcı adı
Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver Özel uç nokta Kimlik tags

Blob dizin etiketleri

Bu bölümde blob dizin etiketleriyle ilgili örnekler yer alır.

Önemli

Alt çalışma şu anda ABAC özellik önizlemesi sırasında uygulanan koşullarla uyumluluk için desteklense Read content from a blob with tag conditions de kullanım dışı bırakılmıştır ve Microsoft bunun yerine eylemin Read a blob kullanılmasını önerir.

Azure portalında ABAC koşullarını yapılandırırken KULLANıM DıŞı: Etiket koşullarına sahip bir blobdan içerik okuma makalesini görebilirsiniz. Microsoft, işlemin kaldırılmasını ve eylemiyle değiştirilmesini Read a blob önerir.

Okuma erişimini etiket koşullarına göre kısıtlamak istediğiniz kendi koşulunuzu yazarsanız lütfen Örnek: Blob dizin etiketine sahip blobları okuma bölümüne bakın.

Örnek: Blob dizin etiketiyle blobları okuma

Bu koşul, kullanıcıların Blob dizin etiketi anahtarı Project ve Cascade değeri olan blobları okumasına olanak tanır. Bu anahtar-değer etiketi olmadan bloblara erişme girişimlerine izin verilmez.

Bu koşulun bir güvenlik sorumlusu için etkili olması için, bunu aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir:

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Blob dizin etiketiyle bloblara okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalı görsel düzenleyicisini kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar {keyName}
Operatör StringEquals
Değer {keyValue}

Blob dizin etiketiyle bloblara okuma erişimini gösteren Azure portalındaki koşul düzenleyicisinin ekran görüntüsü.

Örnek: Yeni bloblar bir blob dizin etiketi içermelidir

Bu koşul, tüm yeni blobların Project'in blob dizin etiketi anahtarını ve Cascade değerini içermesini gerektirir.

Yeni bloblar oluşturmanıza olanak sağlayan iki eylem vardır, bu nedenle her ikisini de hedeflemeniz gerekir. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir:

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Yeni blobları gösteren koşul diyagramı bir blob dizin etiketi içermelidir.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blob dizin etiketleriyle bloba yazma
Blob dizin etiketleriyle bloba yazma
Öznitelik kaynağı İstek
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar {keyName}
Operatör StringEquals
Değer {keyValue}

Azure portalında yeni blobların blob dizin etiketi içermesi gerektiğini gösteren koşul düzenleyicisinin ekran görüntüsü.

Örnek: Mevcut blobların blob dizin etiketi anahtarları olmalıdır

Bu koşul, mevcut blobların izin verilen blob dizini etiket anahtarlarından en az biriyle etiketlenmiş olmasını gerektirir: Project veya Program. Bu koşul, mevcut bloblara idare eklemek için kullanışlıdır.

Mevcut bloblardaki etiketleri güncelleştirmenize olanak sağlayan iki eylem vardır, bu nedenle her ikisini de hedeflemeniz gerekir. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir:

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Mevcut blobların blob dizin etiketi anahtarları olması gerektiğini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blob dizin etiketleriyle bloba yazma
Blob dizin etiketlerini yazma
Öznitelik kaynağı İstek
Öznitelik Blob dizin etiketleri [Anahtarlar]
Operatör ForAllOfAnyValues:StringEquals
Değer {keyName1}
{keyName2}

Mevcut blobların blob dizin etiketi anahtarları olması gerektiğini gösteren Azure portalındaki koşul düzenleyicisinin ekran görüntüsü.

Örnek: Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır

Bu koşul, mevcut blobların Project blob dizin etiketi anahtarına ve Cascade, Baker veya Skagit değerlerine sahip olmasını gerektirir. Bu koşul, mevcut bloblara idare eklemek için kullanışlıdır.

Mevcut bloblardaki etiketleri güncelleştirmenize olanak sağlayan iki eylem vardır, bu nedenle her ikisini de hedeflemeniz gerekir. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Mevcut blobların blob dizin etiketi anahtarına ve değerlerine sahip olması gerektiğini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blob dizin etiketleriyle bloba yazma
Blob dizin etiketlerini yazma
Öznitelik kaynağı İstek
Öznitelik Blob dizin etiketleri [Anahtarlar]
Operatör ForAnyOfAnyValues:StringEquals
Değer {keyName}
Operatör And
Expression 2
Öznitelik kaynağı İstek
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar {keyName}
Operatör ForAllOfAnyValues:StringEquals
Değer {keyValue1}
{keyValue2}
{keyValue3}

Mevcut blobların blob dizin etiketi anahtarına ve değerlerine sahip olması gerektiğini gösteren Azure portalındaki koşul düzenleyicisinin ekran görüntüsü.

Blob kapsayıcı adları veya yolları

Bu bölüm, kapsayıcı adına veya blob yoluna göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme

Bu koşul kullanıcıların blobs-example-container adlı depolama kapsayıcılarındaki blobları okumasına, yazmasına veya silmesine olanak tanır. Bu koşul, belirli depolama kapsayıcılarını abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Mevcut blobları okumak, yazmak ve silmek için beş eylem vardır. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.
Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Alt çalışma yalnızca etiketlere göre koşullar yazıldığında gerektiğinden, alt işler bu koşulda kullanılmaz.

Adlandırılmış kapsayıcılardaki okuma, yazma veya silme bloblarını gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blob silme
Blobu okuma
Bloba yazma
Blob veya anlık görüntü oluşturma veya veri ekleme
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer {containerName}

Adlandırılmış kapsayıcılardaki okuma, yazma veya silme bloblarını gösteren Azure portalındaki koşul düzenleyicisinin ekran görüntüsü.

Örnek: Adlandırılmış kapsayıcılardaki blobları yol ile okuma

Bu koşul, blob yolu readonly/* olan blobs-example-container adlı depolama kapsayıcılarına okuma erişimi sağlar. Bu koşul, okuma erişimi için depolama kapsayıcılarının belirli bölümlerini abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.
Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer {containerName}
Expression 2
Operatör And
Öznitelik kaynağı Kaynak
Öznitelik Blob yolu
Operatör StringLike
Değer {pathString}

Azure portalında yol içeren adlandırılmış kapsayıcılardaki bloblara okuma erişimini gösteren koşul düzenleyicisinin ekran görüntüsü.

Örnek: Yolu olan adlandırılmış kapsayıcılardaki blobları okuma veya listeleme

Bu koşul okuma erişimine izin verir ve ayrıca blob yolu salt okunur/* olan blobs-example-container adlı depolama kapsayıcılarına erişimi listeler. Koşul 1, liste blobları hariç okuma eylemleri için geçerlidir. Koşul 2, liste blobları için geçerlidir. Bu koşul, okuma veya liste erişimi için depolama kapsayıcılarının belirli bölümlerini abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.
Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara okuma ve listeleme erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Not

Azure portalı kapsayıcının kök dizinindeki blobları listelemek için prefix='' kullanır. Koşul, StringStartsWith 'readonly/' ön eki kullanılarak blobları listeleme işlemiyle eklendikten sonra, hedeflenen kullanıcılar Azure portalında kapsayıcının kök dizininden blobları listeleyemez.

Koşul #1 Ayar
Eylemler Blobu okuma
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer {containerName}
Expression 2
Operatör And
Öznitelik kaynağı Kaynak
Öznitelik Blob yolu
Operatör StringStartsWith
Değer {pathString}
Koşul #2 Ayar
Eylemler Blobları listeleme
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer {containerName}
Expression 2
Operatör And
Öznitelik kaynağı İstek
Öznitelik Blob ön eki
Operatör StringStartsWith
Değer {pathString}

Örnek: Adlandırılmış kapsayıcılara yolu olan bloblar yazma

Bu koşul, iş ortağının (Microsoft Entra konuk kullanıcısı) karşıya yükleme/contoso/* yoluyla Contosocorp adlı depolama kapsayıcılarına dosya bırakmasına olanak tanır. Bu koşul, diğer kullanıcıların depolama kapsayıcılarına veri yerleştirmesine izin vermek için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.
Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara yazma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Bloba yazma
Blob veya anlık görüntü oluşturma veya veri ekleme
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer {containerName}
Expression 2
Operatör And
Öznitelik kaynağı Kaynak
Öznitelik Blob yolu
Operatör StringLike
Değer {pathString}

Azure portalında yol içeren adlandırılmış kapsayıcılardaki bloblara yazma erişimini gösteren koşul düzenleyicisinin ekran görüntüsü.

Örnek: Blob dizin etiketi ve yolu olan blobları okuma

Bu koşul, kullanıcının Program blob dizin etiketi anahtarı, Alpine değeri ve günlüklerin blob yolu* ile blobları okumasına olanak tanır. Günlüklerin blob yolu* blob adını da içerir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Blob dizin etiketi ve yolu olan bloblara okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar {keyName}
Operatör StringEquals
Değer {keyValue}

Blob dizin etiketi ve yol içeren bloblara okuma erişimini gösteren Azure portalındaki koşul 1 düzenleyicisinin ekran görüntüsü.

Koşul #2 Ayar
Eylemler Blobu okuma
Öznitelik kaynağı Kaynak
Öznitelik Blob yolu
Operatör StringLike
Değer {pathString}

Blob dizin etiketi ve yolu olan bloblara okuma erişimini gösteren Azure portalındaki koşul 2 düzenleyicisinin ekran görüntüsü.

Blob kapsayıcı meta verileri

Örnek: Kapsayıcıdaki blobları belirli meta verilerle okuma

Bu koşul, kullanıcıların belirli bir meta veri anahtarı/değer çifti ile blob kapsayıcılarındaki blobları okumasına olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı meta verileri
Operatör StringEquals
Değer {containerName}

Azure portalında belirli meta verilere sahip kapsayıcıdaki okuma blobunu gösteren koşul düzenleyicisinin ekran görüntüsü.

Örnek: Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme

Bu koşul, kullanıcıların belirli bir meta veri anahtarı/değer çiftine sahip blob kapsayıcılarında blob yazmasına veya silmesine olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Bloba yazma
Blob silme
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı meta verileri
Operatör StringEquals
Değer {containerName}

Azure portalında belirli meta verilere sahip kapsayıcıda yazma ve silme blobunu gösteren koşul düzenleyicisinin ekran görüntüsü.

Blob sürümleri veya blob anlık görüntüleri

Bu bölüm, blob sürümüne veya anlık görüntüye göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Salt okunur geçerli blob sürümleri

Bu koşul, kullanıcının yalnızca geçerli blob sürümlerini okumasına olanak tanır. Kullanıcı diğer blob sürümlerini okuyamaz.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Yalnızca geçerli blob sürümüne okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı Kaynak
Öznitelik Geçerli Sürümdür
Operatör BoolEquals
Değer True

Örnek: Geçerli blob sürümlerini ve belirli bir blob sürümünü okuma

Bu koşul, kullanıcının geçerli blob sürümlerini okumasına ve 2022-06-01T23:38:8883645Z sürüm kimliğine sahip blobları okumasına olanak tanır. Kullanıcı diğer blob sürümlerini okuyamaz. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Belirli bir blob sürümüne okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Öznitelik kaynağı İstek
Öznitelik Sürüm Kimliği
Operatör DateTimeEquals
Değer <blobVersionId>
Expression 2
Operatör Or
Öznitelik kaynağı Kaynak
Öznitelik Geçerli Sürümdür
Operatör BoolEquals
Değer True

Örnek: Eski blob sürümlerini silme

Bu koşul, kullanıcının temizleme gerçekleştirmek için blobun 06.01.2022'den eski sürümlerini silmesine olanak tanır. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Eski blob sürümlerine silme erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blob silme
Blobun sürümünü silme
Öznitelik kaynağı İstek
Öznitelik Sürüm Kimliği
Operatör DateTimeLessThan
Değer <blobVersionId>

Örnek: Geçerli blob sürümlerini ve blob anlık görüntülerini okuma

Bu koşul, kullanıcının geçerli blob sürümlerini ve tüm blob anlık görüntülerini okumasına olanak tanır. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir. Snapshot özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir ve şu anda hiyerarşik ad alanının etkinleştirildiği depolama hesapları için önizleme aşamasındadır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Geçerli blob sürümlerine ve blob anlık görüntülerine okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı İstek
Öznitelik Anlık Görüntü
Exists Kontrol
Expression 2
Operatör Or
Öznitelik kaynağı Kaynak
Öznitelik Geçerli Sürümdür
Operatör BoolEquals
Değer True

Örnek: Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver

Bu koşul, kullanıcının kapsayıcıdaki blobları listelemesine ve meta verileri, anlık görüntüyü ve sürüm bilgilerini eklemesine olanak tanır. Liste blobları ekleme özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Not

Liste blobları bir istek özniteliğidir ve List Blobs işlemi çağrılırken parametredeki include değerlere izin vererek veya bunları kısıtlayarak çalışır. parametresindeki include değerler, çapraz ürün karşılaştırma işleçleri kullanılarak koşulda belirtilen değerlerle karşılaştırılır. Karşılaştırma true olarak değerlendirilirse isteğe List Blobs izin verilir. Karşılaştırma false olarak değerlendirilirse istek List Blobs reddedilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobları listeleme
Öznitelik kaynağı İstek
Öznitelik Liste blobları şunlardır:
Operatör ForAllOfAnyValues:StringEqualsIgnoreCase
Değer {'metadata', 'snapshots', 'versions'}

Kullanıcının kapsayıcıdaki blobları listelemesine ve meta veriler, anlık görüntü ve sürüm bilgileri eklemesine olanak sağlayan koşulu gösteren Azure portalındaki koşul düzenleyicisinin ekran görüntüsü.

Örnek: Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama

Bu koşul, isteğe meta veriler eklendiğinde kullanıcının blobları listelemesini kısıtlar. Liste blobları ekleme özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Not

Liste blobları bir istek özniteliğidir ve List Blobs işlemi çağrılırken parametredeki include değerlere izin vererek veya bunları kısıtlayarak çalışır. parametresindeki include değerler, çapraz ürün karşılaştırma işleçleri kullanılarak koşulda belirtilen değerlerle karşılaştırılır. Karşılaştırma true olarak değerlendirilirse isteğe List Blobs izin verilir. Karşılaştırma false olarak değerlendirilirse istek List Blobs reddedilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobları listeleme
Öznitelik kaynağı İstek
Öznitelik Liste blobları şunlardır:
Operatör ForAllOfAllValues:StringNotEquals
Değer {'metadata'}

Azure portalında, isteğe meta veriler eklendiğinde kullanıcının blobları listelemesini kısıtlamak için bir koşul gösteren koşul düzenleyicisinin ekran görüntüsü.

Hiyerarşik ad alanı

Bu bölüm, depolama hesabı için hiyerarşik ad alanının etkinleştirilip etkinleştirilmediğine bağlı olarak nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları

Bu koşul, kullanıcının yalnızca hiyerarşik ad alanı etkin depolama hesaplarındaki blobları okumasına olanak tanır. Bu koşul yalnızca kaynak grubu kapsamında veya üstünde geçerlidir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Hiyerarşik ad alanı etkin depolama hesaplarına okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı Kaynak
Öznitelik Hiyerarşik ad alanı etkin mi?
Operatör BoolEquals
Değer True

Şifreleme kapsamı

Bu bölüm, onaylı bir şifreleme kapsamına sahip nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Belirli şifreleme kapsamlarına sahip blobları okuma

Bu koşul, kullanıcının şifreleme kapsamı validScope1 veya validScope2ile şifrelenmiş blobları okumasına olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Şifreleme kapsamı validScope1 veya validScope2 olan bloblara okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Öznitelik kaynağı Kaynak
Öznitelik Şifreleme kapsamı adı
Operatör ForAnyOfAnyValues:StringEquals
Değer <Scopename>

Örnek: Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma

Bu koşul, kullanıcının adlı sampleaccount ve şifreleme kapsamıyla ScopeCustomKey1şifrelenmiş bir depolama hesabındaki blobları okumasına veya yazmasına olanak tanır. Bloblar ile ScopeCustomKey1şifrelenmemişse veya şifresi çözülmezse, istek yasak değerini döndürür.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Not

Farklı depolama hesapları için şifreleme kapsamları farklı olabileceğinden, belirli şifreleme kapsamının izin verileceği şekilde kısıtlamak için özniteliğinin özniteliğiyle encryptionScopes:name kullanılması storageAccounts:name önerilir.

Şifreleme kapsamı ScopeCustomKey1 ile sampleaccount depolama hesabındaki bloblara okuma veya yazma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blobu okuma
Bloba yazma
Blob veya anlık görüntü oluşturma veya veri ekleme
Öznitelik kaynağı Kaynak
Öznitelik Hesap adı
Operatör StringEquals
Değer <Accountname>
Expression 2
Operatör And
Öznitelik kaynağı Kaynak
Öznitelik Şifreleme kapsamı adı
Operatör ForAnyOfAnyValues:StringEquals
Değer <Scopename>

Asıl öznitelikler

Bu bölüm, özel güvenlik sorumlularına göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Blob dizin etiketlerini ve özel güvenlik özniteliklerini temel alan blobları okuma veya yazma

Bu koşul, kullanıcının blob dizin etiketiyle eşleşen özel bir güvenlik özniteliği varsa bloblara okuma veya yazma erişimi sağlar.

Örneğin, Brenda özniteliğine Project=Bakersahipse blob dizin etiketiyle Project=Baker yalnızca blobları okuyabilir veya yazabilir. Benzer şekilde, Chandra ile blobları Project=Cascadeyalnızca okuyabilir veya yazabilir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Daha fazla bilgi için bkz . Etiketlere ve özel güvenlik özniteliklerine göre bloblara okuma erişimine izin verme.

Blob dizin etiketlerine ve özel güvenlik özniteliklerine göre bloblara okuma veya yazma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blob koşullarını okuma
Öznitelik kaynağı Asıl
Öznitelik <attributeset>_<key>
Operatör StringEquals
Seçenek Öznitelik
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar <key>
Koşul #2 Ayar
Eylemler Blob dizin etiketleriyle bloba yazma
Blob dizin etiketleriyle bloba yazma
Öznitelik kaynağı Asıl
Öznitelik <attributeset>_<key>
Operatör StringEquals
Seçenek Öznitelik
Öznitelik kaynağı İstek
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar <key>

Örnek: Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma

Bu koşul, kullanıcının blob dizin etiketiyle eşleşen herhangi bir değere sahip özel bir güvenlik özniteliği varsa bloblara okuma erişimi sağlar.

Örneğin Chandra, Baker ve Cascade değerlerine sahip Project özniteliğine sahipse yalnızca veya Project=Cascade blob dizin etiketine Project=Baker sahip blobları okuyabilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Daha fazla bilgi için bkz . Etiketlere ve özel güvenlik özniteliklerine göre bloblara okuma erişimine izin verme.

Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alarak bloblara okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1 Ayar
Eylemler Blob koşullarını okuma
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar <key>
Operatör ForAnyOfAnyValues:StringEquals
Seçenek Öznitelik
Öznitelik kaynağı Asıl
Öznitelik <attributeset>_<key>

Ortam öznitelikleri

Bu bölüm, ağ ortamına veya geçerli tarih ve saate göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme

Bu koşul, blob kapsayıcısına container1 yalnızca 1 Mayıs 2023 Evrensel Eşgüdümlü Saat (UTC) saat 13:00'den sonra okuma erişimi sağlar.

Mevcut blobları okumak için iki olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem Alt çalışma
Tüm okuma işlemleri Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi en üst düzey Tüm okuma işlemleri eylemini veya diğer alt işlemleri seçmeyin:

Azure portalında yalnızca okuma işleminin seçimini gösteren koşul düzenleyicisinin ekran görüntüsü.

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Ayar Value
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer container1
Mantıksal işleç 'VE'
Öznitelik kaynağı Ortam
Öznitelik UtcNow
Operatör DateTimeGreaterThan
Değer 2023-05-01T13:00:00.000Z

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Azure portalında belirli bir tarih ve saatten sonra okuma erişimine izin verileni gösteren koşul düzenleyicisinin ekran görüntüsü.

Örnek: Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme

Bu koşul yalnızca sanal ağdaki alt ağdan defaultvirtualnetwork1bloblara container1 okuma, yazma, ekleme ve silme erişimi sağlar. Bu örnekte Subnet özniteliğini kullanmak için alt ağda Azure Depolama için hizmet uç noktaları etkinleştirilmiş olmalıdır.

Mevcut bloblara okuma, yazma, ekleme ve silme erişimi için beş olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Eylem ekle

Eylem ekle'yi ve ardından yalnızca aşağıdaki tabloda gösterilen en üst düzey eylemleri seçin.

Eylem Alt çalışma
Tüm okuma işlemleri Yok
Bloba yazma Yok
Blob veya anlık görüntü oluşturma veya veri ekleme Yok
Blobu silme Yok

Aşağıdaki görüntüde gösterildiği gibi tek tek alt işlem seçmeyin:

Azure portalında okuma, yazma, ekleme ve silme işlemlerinin seçimini gösteren koşul düzenleyicisinin ekran görüntüsü.

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Ayar Value
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer container1
Mantıksal işleç 'VE'
Öznitelik kaynağı Ortam
Öznitelik Alt ağ
Operatör StringEqualsIgnoreCase
Değer /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Azure portalında belirli bir alt ağdan izin verilen belirli kapsayıcılara okuma erişimini gösteren koşul düzenleyicisinin ekran görüntüsü.

Bu koşul, blob dizin etiketi duyarlılığının özel bağlantı (herhangi bir özel bağlantı) üzerinden olması gereken bir değere high sahip olduğu blobları okuma isteklerini gerektirir. Bu, yüksek oranda hassas blobları genel İnternet'ten okuma girişimlerine izin verilmeyeceği anlamına gelir. Kullanıcılar, genel İnternet'ten duyarlılık değeri dışında highbir değere ayarlanmış blobları okuyabilir.

Bu ABAC örnek koşulu için bir doğruluk tablosu aşağıdaki gibidir:

Eylem Duyarlılık Özel bağlantı Erişim
Blobu okuma Yüksek Evet İzin Verilir
Blobu okuma Yüksek Hayır İzin Verilmez
Blobu okuma YÜKSEK DEĞİl Evet İzin Verilir
Blobu okuma YÜKSEK DEĞİl Hayır İzin Verilir

Mevcut blobları okumak için iki olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem Alt çalışma
Tüm okuma işlemleri Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi diğer alt işlemlerin en üst düzey Tüm okuma işlemleri eylemini seçmeyin:

Azure portalında yalnızca okuma işleminin seçimini gösteren koşul düzenleyicisinin ekran görüntüsü.

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup Ayar Value
Grup #1
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar sensitivity
Operatör StringEquals
Değer high
Mantıksal işleç 'VE'
Öznitelik kaynağı Ortam
Öznitelik Özel bağlantıdır
Operatör BoolEquals
Değer True
Grup Sonu #1
Mantıksal işleç 'VEYA'
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar sensitivity
Operatör StringNotEquals
Değer high

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Azure portalında hassas veriler için özel bağlantı gerektiren okuma erişimini gösteren koşul düzenleyicisinin ekran görüntüsü.

Örnek: Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme

Bu koşul, adlı container1 bir depolama kapsayıcısında bloblar için tüm okuma, yazma, ekleme ve silme işlemlerinin adlı privateendpoint1özel uç nokta aracılığıyla yapılmasını gerektirir. adlı container1diğer tüm kapsayıcılar için erişimin özel uç nokta üzerinden olması gerekmez.

Mevcut blobları okumak, yazmak ve silmek için beş olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.
Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi ve ardından yalnızca aşağıdaki tabloda gösterilen en üst düzey eylemleri seçin.

Eylem Alt çalışma
Tüm okuma işlemleri Yok
Bloba yazma Yok
Blob veya anlık görüntü oluşturma veya veri ekleme Yok
Blobu silme Yok

Aşağıdaki görüntüde gösterildiği gibi tek tek alt işlem seçmeyin:

Azure portalında okuma, yazma, ekleme ve silme işlemlerinin seçimini gösteren koşul düzenleyicisinin ekran görüntüsü.

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup Ayar Value
Grup #1
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringEquals
Değer container1
Mantıksal işleç 'VE'
Öznitelik kaynağı Ortam
Öznitelik Özel uç nokta
Operatör StringEqualsIgnoreCase
Değer /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Grup Sonu #1
Mantıksal işleç 'VEYA'
Öznitelik kaynağı Kaynak
Öznitelik Kapsayıcı adı
Operatör StringNotEquals
Değer container1

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Azure portalında özel uç nokta ortamı özniteliğine sahip adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silmeyi gösteren koşul düzenleyicisinin ekran görüntüsü.

Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver

Bu koşul, dizin etiketi duyarlılığı ayarlanmış high blobların yalnızca duyarlılık güvenlik özniteliği için eşleşen bir değere sahip kullanıcılar tarafından okunabilmesini gerektirir. Ayrıca, bunlara adlı privateendpoint1özel bir uç nokta üzerinden erişilmesi gerekir. Duyarlılık etiketi için farklı bir değere sahip bloblara diğer uç noktalar veya İnternet üzerinden erişilebilir.

Mevcut blobları okumak için iki olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem Notlar
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem Alt çalışma
Tüm okuma işlemleri Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi en üst düzey eylemi seçmeyin:

Azure portalında blob okuma işleminin seçimini gösteren koşul düzenleyicisinin ekran görüntüsü.

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup Ayar Value
Grup #1
Öznitelik kaynağı Asıl
Öznitelik <attributeset>_<key>
Operatör StringEquals
Seçenek Öznitelik
Mantıksal işleç 'VE'
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar <key>
Mantıksal işleç 'VE'
Öznitelik kaynağı Ortam
Öznitelik Özel uç nokta
Operatör StringEqualsIgnoreCase
Değer /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Grup Sonu #1
Mantıksal işleç 'VEYA'
Öznitelik kaynağı Kaynak
Öznitelik Blob dizin etiketleri [Anahtardaki değerler]
Anahtar sensitivity
Operatör StringNotEquals
Değer high

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Etiketli kullanıcılar için belirli bir özel uç nokta üzerinden okuma erişimine izin verilenleri gösteren Azure portalındaki koşul düzenleyicisinin ekran görüntüsü.

Sonraki adımlar