مثال على شروط تعيين دور Azure ل Blob Storage

تسرد هذه المقالة بعض الأمثلة على شروط تعيين الدور للتحكم في الوصول إلى Azure Blob Storage.

هام

يتوفر التحكم في الوصول المستند إلى سمة Azure (Azure ABAC) بشكل عام (GA) للتحكم في الوصول إلى Azure Blob Storage وAzure Data Lake Storage Gen2 وقوائم انتظار Azure باستخدام requestresourceenvironmentprincipal سمات و في كل من مستويات أداء حساب التخزين القياسية والمتميزة. حاليا، تتضمن القائمة blob سمة الطلب وسمة طلب اللقطة لمساحة الاسم الهرمية في PREVIEW. للحصول على معلومات حالة الميزة الكاملة ل ABAC لتخزين Azure، راجع حالة ميزات الشرط في Azure Storage.

راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

للحصول على معلومات حول المتطلبات الأساسية لإضافة شروط تعيين الدور أو تحريرها، انظر الشروط المطلوبة.

ملخص الأمثلة في هذه المقالة

استخدم الجدول التالي لتحديد موقع مثال يناسب سيناريو ABAC بسرعة. يتضمن الجدول وصفا موجزا للسيناريو، بالإضافة إلى قائمة السمات المستخدمة في المثال حسب المصدر (البيئة، الأساسي، الطلب والمورد).

مثال	البيئة	أساسي	طلب	مورد
قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم				العلامات
يجب أن تتضمن الكائنات الثنائية كبيرة الحجم الجديدة علامة فهرس كائن ثنائي كبير الحجم			العلامات
يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفاتيح علامات فهرس الكائنات الثنائية كبيرة الحجم			العلامات
يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفتاح علامة فهرس كائن ثنائي كبير الحجم وقيم			العلامات
قراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات مسماة				اسم الحاوية
قراءة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار				مسار كائن ثنائي كبير الحجم لاسم الحاوية
قراءة الكائنات الثنائية كبيرة الحجم أو سردها في حاويات مسماة بمسار			بادئة الكائن الثنائي كبير الحجم	مسار كائن ثنائي كبير الحجم لاسم الحاوية
كتابة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار				مسار كائن ثنائي كبير الحجم لاسم الحاوية
قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم ومسار				مسار الكائن الثنائي كبير الحجم للعلامات
قراءة الكائنات الثنائية كبيرة الحجم في الحاوية مع بيانات تعريف محددة				بيانات تعريف الحاوية
كتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاوية مع بيانات تعريف محددة				بيانات تعريف الحاوية
قراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط				isCurrentVersion
قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وإصدار كائن ثنائي كبير الحجم محدد			معرف الإصدار	isCurrentVersion
حذف إصدارات الكائن الثنائي كبير الحجم القديمة			معرف الإصدار
قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات للكائنات الثنائية كبيرة الحجم			لقطه	isCurrentVersion
السماح لعملية قائمة كائن ثنائي كبير الحجم بتضمين بيانات تعريف الكائن الثنائي كبير الحجم أو اللقطات أو الإصدارات			تضمين كائن ثنائي كبير الحجم للقائمة
تقييد عملية كائن ثنائي كبير الحجم للقائمة بحيث لا تتضمن بيانات تعريف الكائن الثنائي كبير الحجم			تضمين كائن ثنائي كبير الحجم للقائمة
قراءة حسابات التخزين فقط مع تمكين مساحة الاسم الهرمية				isHnsEnabled
قراءة الكائنات الثنائية كبيرة الحجم مع نطاقات تشفير محددة				اسم نطاق التشفير
قراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب تخزين مسمى مع نطاق تشفير محدد				اسم نطاق تشفير حساب التخزين
قراءة أو كتابة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة		معرف	العلامات	العلامات
قراءة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة متعددة القيم		معرف		العلامات
السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم بعد تاريخ ووقت محددين	UtcNow			اسم الحاوية
السماح بالوصول إلى الكائنات الثنائية كبيرة الحجم في حاويات معينة من شبكة فرعية معينة	الشبكة الفرعية			اسم الحاوية
طلب وصول ارتباط خاص لقراءة الكائنات الثنائية كبيرة الحجم ذات الحساسية العالية	isPrivateLink			العلامات
السماح بالوصول إلى حاوية فقط من نقطة نهاية خاصة معينة	نقطة النهاية الخاصة			اسم الحاوية
مثال: السماح بالوصول للقراءة إلى بيانات الكائن الثنائي كبير الحجم الحساسة للغاية فقط من نقطة نهاية خاصة معينة ومن قبل المستخدمين الذين تم وضع علامة لهم للوصول	نقطة النهاية الخاصة	معرف		العلامات

علامات فهرس البيانات كبيرة الحجم

يتضمن هذا القسم أمثلة تتضمن علامات فهرس كائن ثنائي كبير الحجم.

هام

Read content from a blob with tag conditions على الرغم من أن التشغيل الفرعي مدعوم حاليا للتوافق مع الشروط التي تم تنفيذها أثناء معاينة ميزة ABAC، فقد تم إهماله وتوصي Microsoft باستخدام Read a blob الإجراء بدلا من ذلك.

عند تكوين شروط ABAC في مدخل Microsoft Azure، قد ترى DEPRECATED: قراءة المحتوى من كائن ثنائي كبير الحجم بشروط العلامة. توصي Microsoft بإزالة العملية واستبدالها بالإجراء Read a blob .

إذا كنت تقوم بتأليف الشرط الخاص بك حيث تريد تقييد الوصول للقراءة حسب شروط العلامة، يرجى الرجوع إلى مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم.

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم

يسمح هذا الشرط للمستخدمين بقراءة الكائنات الثنائية كبيرة الحجم باستخدام مفتاح علامة فهرس كائن ثنائي كبير الحجم ل Project وقيمة تتالي. محاولات الوصول إلى الكائنات الثنائية كبيرة الحجم بدون علامة قيمة المفتاح هذه غير مسموح بها.

لكي يكون هذا الشرط فعالا لمدير الأمان، يجب إضافته إلى كافة تعيينات الأدوار الخاصة به والتي تتضمن الإجراءات التالية:

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم.

يمكن إضافة الشرط إلى تعيين دور باستخدام إما مدخل Azure أو Azure PowerShell. يحتوي المدخل على أداتين لبناء شروط ABAC - المحرر المرئي ومحرر التعليمات البرمجية. يمكنك التبديل بين المحررين في مدخل Microsoft Azure للاطلاع على شروطك في طرق عرض مختلفة. التبديل بين علامة التبويب محرر المرئيات وعلامات تبويب محرر التعليمات البرمجية لعرض الأمثلة لمحرر المدخل المفضل لديك.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام المحرر المرئي لمدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	مورد
السمة	علامات فهرس Blob [القيم في المفتاح]
مفتاح	{keyName}
عامل	StringEquals
قيمة	{keyValue}

لإضافة الشرط باستخدام محرر التعليمات البرمجية، انسخ نموذج رمز الشرط والصقه في محرر التعليمات البرمجية. بعد إدخال التعليمات البرمجية الخاصة بك، قم بالتبديل مرة أخرى إلى المحرر المرئي للتحقق من صحته.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة إلا عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أن عملية List Blobs مسموح بها، ولكن يتم تقييم جميع إجراءات القراءة الأخرى بشكل أكبر مقابل التعبير الذي يتحقق من علامة فهرس الكائن الثنائي كبير الحجم.

إذا حاول مستخدم تنفيذ إجراء في الدور المعين ليس إجراء مقيدا بالشرط، !(ActionMatches) يتم تقييمه إلى صحيح ويتم تقييم الشرط الإجمالي إلى صحيح. تسمح هذه النتيجة بتنفيذ الإجراء.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

مثال: يجب أن تتضمن الكائنات الثنائية كبيرة الحجم الجديدة علامة فهرس كائن ثنائي كبير الحجم

يتطلب هذا الشرط أن تتضمن أي كائنات ثنائية كبيرة الحجم جديدة مفتاح علامة فهرس كائن ثنائي كبير الحجم ل Project وقيمة تتالي.

هناك إجراءان يسمحان لك بإنشاء كائنات ثنائية كبيرة الحجم جديدة، لذلك يجب استهداف كليهما. يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن أحد الإجراءات التالية:

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

يجب أن يتضمن الرسم التخطيطي للحالة التي تعرض الكائنات الثنائية كبيرة الحجم الجديدة علامة فهرس كائن ثنائي كبير الحجم.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم
مصدر السمة	طلب
السمة	علامات فهرس Blob [القيم في المفتاح]
مفتاح	{keyName}
عامل	StringEquals
قيمة	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفاتيح علامات فهرس الكائنات الثنائية كبيرة الحجم

يتطلب هذا الشرط أن يتم وضع علامة على أي كائنات ثنائية كبيرة الحجم موجودة بأحد مفاتيح علامات فهرس الكائن الثنائي كبير الحجم المسموح بها على الأقل: Project أو Program. هذا الشرط مفيد لإضافة الحوكمة إلى الكائنات الثنائية كبيرة الحجم الموجودة.

هناك إجراءان يسمحان لك بتحديث العلامات على الكائنات الثنائية كبيرة الحجم الموجودة، لذلك يجب استهداف كليهما. يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن أحد الإجراءات التالية:

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

يجب أن يحتوي الرسم التخطيطي للحالة الذي يوضح الكائنات الثنائية كبيرة الحجم الموجودة على مفاتيح علامات فهرس الكائنات الثنائية كبيرة الحجم.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم كتابة علامات فهرس كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	علامات فهرس كائن ثنائي كبير الحجم [مفاتيح]
عامل	ForAllOfAnyValues:StringEquals
قيمة	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفتاح علامة فهرس كائن ثنائي كبير الحجم وقيم

يتطلب هذا الشرط أن تحتوي أي كائنات ثنائية كبيرة الحجم موجودة على مفتاح علامة فهرس كائن ثنائي كبير الحجم ل Project وقيم Cascade أو Baker أو Skagit. هذا الشرط مفيد لإضافة الحوكمة إلى الكائنات الثنائية كبيرة الحجم الموجودة.

هناك إجراءان يسمحان لك بتحديث العلامات على الكائنات الثنائية كبيرة الحجم الموجودة، لذلك يجب استهداف كليهما. يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن أحد الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

يجب أن يحتوي الرسم التخطيطي للحالة الذي يوضح الكائنات الثنائية كبيرة الحجم الموجودة على مفتاح علامة فهرس كائن ثنائي كبير الحجم وقيمه.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم كتابة علامات فهرس كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	علامات فهرس كائن ثنائي كبير الحجم [مفاتيح]
عامل	ForAnyOfAnyValues:StringEquals
قيمة	{keyName}
عامل	و
التعبير 2
مصدر السمة	طلب
السمة	علامات فهرس Blob [القيم في المفتاح]
مفتاح	{keyName}
عامل	ForAllOfAnyValues:StringEquals
قيمة	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

أسماء أو مسارات حاوية كائن ثنائي كبير الحجم

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى اسم الحاوية أو مسار الكائن الثنائي كبير الحجم.

مثال: قراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات مسماة

يسمح هذا الشرط للمستخدمين بقراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات التخزين المسماة blobs-example-container. هذا الشرط مفيد لمشاركة حاويات تخزين معينة مع مستخدمين آخرين في اشتراك.

هناك خمسة إجراءات لقراءة الكائنات الثنائية كبيرة الحجم الموجودة وكتابتها وحذفها. يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن أحد الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

لا يتم استخدام التشغيلات الفرعية في هذا الشرط لأن التشغيل الفرعي مطلوب فقط عند تأليف الشروط استنادا إلى العلامات.

رسم تخطيطي للشرط يظهر قراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات مسماة.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	حذف كائن ثنائي كبير الحجم قراءة كائن ثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم إنشاء كائن ثنائي كبير الحجم أو لقطة أو إلحاق البيانات جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	مورد
السمة	اسم الحاوية
عامل	StringEquals
قيمة	{containerName}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

المساهم في بيانات مخزن البيانات الثنائية الكبيرة

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

مثال: قراءة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار

يسمح هذا الشرط بالوصول للقراءة إلى حاويات التخزين المسماة blobs-example-container مع مسار كائن ثنائي كبير الحجم للقراءة فقط/*. هذا الشرط مفيد لمشاركة أجزاء معينة من حاويات التخزين للوصول للقراءة مع مستخدمين آخرين في الاشتراك.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم في حاويات مسماة مع مسار.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	مورد
السمة	اسم الحاوية
عامل	StringEquals
قيمة	{containerName}
التعبير 2
عامل	و
مصدر السمة	مورد
السمة	مسار كائن ثنائي كبير الحجم
عامل	StringLike
قيمة	{pathString}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

مثال: قراءة أو سرد الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار

يسمح هذا الشرط بالوصول للقراءة وأيضا سرد الوصول إلى حاويات التخزين المسماة blobs-example-container مع مسار كائن ثنائي كبير الحجم للقراءة فقط/*. ينطبق الشرط رقم 1 على إجراءات القراءة باستثناء الكائنات الثنائية كبيرة الحجم للقائمة. ينطبق الشرط رقم 2 على قائمة الكائنات الثنائية كبيرة الحجم. هذا الشرط مفيد لمشاركة أجزاء معينة من حاويات التخزين للوصول للقراءة أو القائمة مع مستخدمين آخرين في الاشتراك.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

رسم تخطيطي للحالة يوضح الوصول للقراءة والسرد إلى الكائنات الثنائية كبيرة الحجم في حاويات مسماة مع مسار.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

إشعار

يستخدم مدخل Azure البادئة ='' لسرد الكائنات الثنائية كبيرة الحجم من الدليل الجذر للحاوية. بعد إضافة الشرط مع عملية قائمة الكائنات الثنائية كبيرة الحجم باستخدام البادئة StringStartsWith 'readonly/'، لن يتمكن المستخدمون المستهدفون من سرد الكائنات الثنائية كبيرة الحجم من الدليل الجذر للحاوية في مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	مورد
السمة	اسم الحاوية
عامل	StringEquals
قيمة	{containerName}
التعبير 2
عامل	و
مصدر السمة	مورد
السمة	مسار كائن ثنائي كبير الحجم
عامل	StringStartsWith
قيمة	{pathString}

الشرط رقم 2	الإعدادات
الإجراءات	سرد الكيانات الثنائية كبيرة الحجم جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	مورد
السمة	اسم الحاوية
عامل	StringEquals
قيمة	{containerName}
التعبير 2
عامل	و
مصدر السمة	طلب
السمة	بادئة كائن ثنائي كبير الحجم
عامل	StringStartsWith
قيمة	{pathString}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: كتابة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار

يسمح هذا الشرط لشريك (مستخدم ضيف Microsoft Entra) بإسقاط الملفات في حاويات التخزين المسماة Contosocorp مع مسار التحميلات/contoso/*. هذا الشرط مفيد للسماح للمستخدمين الآخرين بوضع البيانات في حاويات التخزين.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

رسم تخطيطي للحالة يوضح الوصول للكتابة إلى الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم إنشاء كائن ثنائي كبير الحجم أو لقطة أو إلحاق البيانات جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	مورد
السمة	اسم الحاوية
عامل	StringEquals
قيمة	{containerName}
التعبير 2
عامل	و
مصدر السمة	مورد
السمة	مسار كائن ثنائي كبير الحجم
عامل	StringLike
قيمة	{pathString}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

المساهم في بيانات مخزن البيانات الثنائية الكبيرة

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم ومسار

يسمح هذا الشرط للمستخدم بقراءة الكائنات الثنائية كبيرة الحجم باستخدام مفتاح علامة فهرس كائن ثنائي كبير الحجم للبرنامج وقيمة Alpine ومسار كائن ثنائي كبير الحجم للسجلات*. يتضمن مسار blob للسجلات* أيضا اسم الكائن الثنائي كبير الحجم.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم مع علامة فهرس كائن ثنائي كبير الحجم ومسار.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	مورد
السمة	علامات فهرس Blob [القيم في المفتاح]
مفتاح	{keyName}
عامل	StringEquals
قيمة	{keyValue}

الشرط رقم 2	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	مورد
السمة	مسار كائن ثنائي كبير الحجم
عامل	StringLike
قيمة	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة إلا عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أن عملية List Blobs مسموح بها، ولكن يتم تقييم جميع إجراءات القراءة الأخرى بشكل أكبر مقابل التعبير الذي يتحقق من علامة ومسار فهرس الكائن الثنائي كبير الحجم.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

بيانات تعريف حاوية كائن ثنائي كبير الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم في الحاوية مع بيانات تعريف محددة

يسمح هذا الشرط للمستخدمين بقراءة الكائنات الثنائية كبيرة الحجم في حاويات الكائنات الثنائية كبيرة الحجم مع زوج مفتاح/قيمة بيانات تعريف محددة.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	مورد
السمة	بيانات تعريف الحاوية
عامل	StringEquals
قيمة	{containerName}

قارئ بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: كتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاوية مع بيانات تعريف محددة

يسمح هذا الشرط للمستخدمين بكتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاويات كائن ثنائي كبير الحجم مع مفتاح/قيمة بيانات تعريف معينة.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم حذف كائن ثنائي كبير الحجم
مصدر السمة	مورد
السمة	بيانات تعريف الحاوية
عامل	StringEquals
قيمة	{containerName}

المساهم في بيانات مخزن البيانات الثنائية الكبيرة

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إصدارات Blob أو لقطات الكائن الثنائي كبير الحجم

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى إصدار الكائن الثنائي كبير الحجم أو اللقطة.

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط

يسمح هذا الشرط للمستخدم بقراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط. لا يمكن للمستخدم قراءة إصدارات blob الأخرى.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى إصدار الكائن الثنائي كبير الحجم الحالي فقط.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	مورد
السمة	هو الإصدار الحالي
عامل	BoolEquals
قيمة	صواب

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وإصدار كائن ثنائي كبير الحجم محدد

يسمح هذا الشرط للمستخدم بقراءة إصدارات الكائن الثنائي كبير الحجم الحالية بالإضافة إلى قراءة الكائنات الثنائية كبيرة الحجم بمعرف إصدار 2022-06-01T23:38:32.8883645Z. لا يمكن للمستخدم قراءة إصدارات blob الأخرى. تتوفر سمة معرف الإصدار فقط لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى إصدار كائن ثنائي كبير الحجم محدد.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	معرف الإصدار
عامل	DateTimeEquals
قيمة	<blobVersionId>
التعبير 2
عامل	أو
مصدر السمة	مورد
السمة	هو الإصدار الحالي
عامل	BoolEquals
قيمة	صواب

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: حذف إصدارات الكائن الثنائي كبير الحجم القديمة

يسمح هذا الشرط للمستخدم بحذف إصدارات كائن ثنائي كبير الحجم أقدم من 06/01/2022 لإجراء التنظيف. تتوفر سمة معرف الإصدار فقط لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

رسم تخطيطي للحالة يوضح حذف الوصول إلى إصدارات blob القديمة.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	حذف كائن ثنائي كبير الحجم حذف إصدار من كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	معرف الإصدار
عامل	DateTimeLessThan
قيمة	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات blob

يسمح هذا الشرط للمستخدم بقراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات blob. تتوفر سمة معرف الإصدار فقط لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية. تتوفر سمة اللقطة لحسابات التخزين حيث لا يتم تمكين مساحة الاسم الهرمية وفي الوقت الحالي معاينة لحسابات التخزين حيث يتم تمكين مساحة الاسم الهرمية.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات blob.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	طلب
السمة	لقطه
موجود	التحقق
التعبير 2
عامل	أو
مصدر السمة	مورد
السمة	هو الإصدار الحالي
عامل	BoolEquals
قيمة	صواب

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: السماح لعملية كائن ثنائي كبير الحجم للقائمة بتضمين بيانات تعريف الكائن الثنائي كبير الحجم أو اللقطات أو الإصدارات

يسمح هذا الشرط للمستخدم بإدراج الكائنات الثنائية كبيرة الحجم في حاوية وتضمين بيانات التعريف واللقطة ومعلومات الإصدار. تتوفر سمة قائمة الكائنات الثنائية كبيرة الحجم لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

إشعار

تتضمن الكائنات الثنائية كبيرة الحجم القائمة سمة طلب، وتعمل عن طريق السماح بالقيم أو تقييدها في المعلمة include عند استدعاء عملية قائمة الكائنات الثنائية كبيرة الحجم . تتم مقارنة القيم في المعلمة include بالقيم المحددة في الشرط باستخدام عوامل المقارنة عبر المنتجات. إذا تم تقييم المقارنة إلى true، List Blobs يسمح بالطلب. إذا تم تقييم المقارنة إلى خطأ، List Blobs يتم رفض الطلب.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	سرد الكيانات الثنائية كبيرة الحجم
مصدر السمة	طلب
السمة	تتضمن الكائنات الثنائية كبيرة الحجم القائمة
عامل	ForAllOfAnyValues:StringEqualsIgnoreCase
قيمة	{'metadata', 'snapshots', 'versions'}

قارئ بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أنه يتم تقييم عملية قائمة الكائنات الثنائية كبيرة الحجم بشكل أكبر مقابل التعبير الذي يتحقق من include القيم، ولكن يسمح بجميع إجراءات القراءة الأخرى.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: تقييد عملية كائن ثنائي كبير الحجم للقائمة بحيث لا تتضمن بيانات تعريف الكائن الثنائي كبير الحجم

يقيد هذا الشرط المستخدم من سرد الكائنات الثنائية كبيرة الحجم عند تضمين بيانات التعريف في الطلب. تتوفر سمة قائمة الكائنات الثنائية كبيرة الحجم لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

إشعار

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	سرد الكيانات الثنائية كبيرة الحجم
مصدر السمة	طلب
السمة	تتضمن الكائنات الثنائية كبيرة الحجم القائمة
عامل	ForAllOfAllValues:StringNotEquals
قيمة	{'metadata'}

قارئ بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مساحة الاسم الهرمية

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى ما إذا كانت مساحة الاسم الهرمية ممكنة لحساب تخزين.

مثال: قراءة حسابات التخزين فقط مع تمكين مساحة الاسم الهرمية

يسمح هذا الشرط للمستخدم بقراءة الكائنات الثنائية كبيرة الحجم فقط في حسابات التخزين مع تمكين مساحة الاسم الهرمية . ينطبق هذا الشرط فقط في نطاق مجموعة الموارد أو أعلى.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى حسابات التخزين مع تمكين مساحة الاسم الهرمية.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات التي تم تمكين مساحة اسم هرمية لها (إن أمكن)
مصدر السمة	مورد
السمة	هل مساحة الاسم الهرمية ممكنة
عامل	BoolEquals
قيمة	صواب

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

نطاق التشفير

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات ذات نطاق تشفير معتمد.

مثال: قراءة الكائنات الثنائية كبيرة الحجم ذات نطاقات تشفير محددة

يسمح هذا الشرط للمستخدم بقراءة الكائنات الثنائية كبيرة الحجم المشفرة مع نطاق validScope1 التشفير أو validScope2.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم ذات نطاق التشفير validScope1 أو validScope2.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	مورد
السمة	اسم نطاق التشفير
عامل	ForAnyOfAnyValues:StringEquals
قيمة	<اسم النطاق>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب تخزين مسمى مع نطاق تشفير محدد

يسمح هذا الشرط للمستخدم بقراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب تخزين يسمى sampleaccount ومشفرة مع نطاق ScopeCustomKey1التشفير . إذا لم يتم تشفير الكائنات الثنائية كبيرة الحجم أو فك تشفيرها باستخدام ScopeCustomKey1، يرجع الطلب محظورا.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

إشعار

نظرا لأن نطاقات التشفير لحسابات التخزين المختلفة قد تكون مختلفة، فمن المستحسن استخدام السمة storageAccounts:name مع السمة encryptionScopes:name لتقييد نطاق التشفير المحدد المسموح به.

رسم تخطيطي للحالة يوضح الوصول للقراءة أو الكتابة إلى الكائنات الثنائية كبيرة الحجم في حساب تخزين sampleaccount مع نطاق التشفير ScopeCustomKey1.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم إنشاء كائن ثنائي كبير الحجم أو لقطة أو إلحاق البيانات
مصدر السمة	مورد
السمة	اسم الحساب
عامل	StringEquals
قيمة	<اسم الحساب>
التعبير 2
عامل	و
مصدر السمة	مورد
السمة	اسم نطاق التشفير
عامل	ForAnyOfAnyValues:StringEquals
قيمة	<اسم النطاق>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

السمات الأساسية

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى أساسيات الأمان المخصصة.

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة

يسمح هذا الشرط بالوصول للقراءة أو الكتابة إلى الكائنات الثنائية كبيرة الحجم إذا كان لدى المستخدم سمة أمان مخصصة تطابق علامة فهرس الكائن الثنائي كبير الحجم.

على سبيل المثال، إذا كانت Brenda تحتوي على السمة Project=Baker، فيمكنها قراءة أو كتابة الكائنات الثنائية كبيرة الحجم فقط باستخدام Project=Baker علامة فهرس الكائن الثنائي كبير الحجم. وبالمثل، يمكن ل Chandra قراءة أو كتابة الكائنات الثنائية كبيرة الحجم فقط باستخدام Project=Cascade.

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

لمزيد من المعلومات، راجع السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم استنادا إلى العلامات وسمات الأمان المخصصة.

رسم تخطيطي للحالة يوضح الوصول للقراءة أو الكتابة إلى الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة شروط كائن ثنائي كبير الحجم
مصدر السمة	رئيسي
السمة	<attributeset>_<key>
عامل	StringEquals
خيار	السمة
مصدر السمة	مورد
السمة	علامات فهرس Blob [القيم في المفتاح]
مفتاح	<مفتاح>

الشرط رقم 2	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم
مصدر السمة	رئيسي
السمة	<attributeset>_<key>
عامل	StringEquals
خيار	السمة
مصدر السمة	طلب
السمة	علامات فهرس Blob [القيم في المفتاح]
مفتاح	<مفتاح>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة متعددة القيم

يسمح هذا الشرط بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم إذا كان لدى المستخدم سمة أمان مخصصة مع أي قيم تطابق علامة فهرس الكائن الثنائي كبير الحجم.

على سبيل المثال، إذا كان لدى Chandra سمة Project بالقيمين Baker وCacade، فيمكنها قراءة الكائنات الثنائية كبيرة الحجم فقط باستخدام Project=Baker علامة فهرس الكائن الثنائي كبير الحجم أو Project=Cascade .

يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يوضح الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة متعددة القيم.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة شروط كائن ثنائي كبير الحجم
مصدر السمة	مورد
السمة	علامات فهرس Blob [القيم في المفتاح]
مفتاح	<مفتاح>
عامل	ForAnyOfAnyValues:StringEquals
خيار	السمة
مصدر السمة	رئيسي
السمة	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة إلا عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أن عملية List Blobs مسموح بها، ولكن يتم تقييم جميع إجراءات القراءة الأخرى بشكل أكبر مقابل التعبير الذي يتحقق من علامات فهرس الكائن الثنائي كبير الحجم وسمات الأمان المخصصة.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

سمات البيئة

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى بيئة الشبكة أو التاريخ والوقت الحاليين.

مثال: السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم بعد تاريخ ووقت محددين

يسمح هذا الشرط بالوصول للقراءة إلى حاوية container1 الكائن الثنائي كبير الحجم فقط بعد الساعة 1 مساء في 1 مايو 2023 التوقيت العالمي المتفق عليه (UTC).

هناك إجراءان محتملان لقراءة الكائنات الثنائية كبيرة الحجم الموجودة. لجعل هذا الشرط فعالا للمديرين الذين لديهم تعيينات أدوار متعددة، يجب إضافة هذا الشرط إلى كافة تعيينات الأدوار التي تتضمن أي من الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

إضافة إجراء

حدد إضافة إجراء، ثم حدد فقط العملية الفرعية قراءة كائن ثنائي كبير الحجم كما هو موضح في الجدول التالي.

الإجراء	عملية فرعية
جميع عمليات القراءة	قراءة كائن ثنائي كبير الحجم

لا تحدد إجراء جميع عمليات القراءة من المستوى الأعلى أو أي عمليات فرعية أخرى كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

الإعدادات قيمة

مصدر السمة مورد

السمة اسم الحاوية

عامل StringEquals

قيمة container1

عامل التشغيل المنطقي 'AND'

مصدر السمة البيئة

السمة UtcNow

عامل DateTimeGreaterThan

قيمة 2023-05-01T13:00:00.000Z

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

لإضافة الشرط باستخدام محرر التعليمات البرمجية، انسخ نموذج رمز الشرط التالي والصقه في محرر التعليمات البرمجية. بعد إدخال التعليمات البرمجية الخاصة بك، قم بالتبديل مرة أخرى إلى المحرر المرئي للتحقق من صحته.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Reader باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: السماح بالوصول إلى الكائنات الثنائية كبيرة الحجم في حاويات معينة من شبكة فرعية معينة

يسمح هذا الشرط بقراءة وكتابة وإضافة وحذف الوصول إلى الكائنات الثنائية كبيرة الحجم في container1 فقط من الشبكة default الفرعية على الشبكة الظاهرية virtualnetwork1. لاستخدام سمة الشبكة الفرعية في هذا المثال، يجب أن يكون للشبكة الفرعية نقاط نهاية خدمة ممكنة ل Azure Storage.

هناك خمسة إجراءات محتملة للقراءة والكتابة وإضافة وحذف الوصول إلى الكائنات الثنائية كبيرة الحجم الموجودة. لجعل هذا الشرط فعالا للمديرين الذين لديهم تعيينات أدوار متعددة، يجب إضافة هذا الشرط إلى كافة تعيينات الأدوار التي تتضمن أي من الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

إضافة إجراء

حدد إضافة إجراء، ثم حدد إجراءات المستوى الأعلى الموضحة في الجدول التالي فقط.

الإجراء	عملية فرعية
جميع عمليات القراءة	غير متوفر
الكتابة إلى كائن ثنائي كبير الحجم	غير متوفر
إنشاء كائن ثنائي كبير الحجم أو نسخة مطابقة أو إلحاق البيانات	غير متوفر
حذف كائن ثنائي كبير الحجم	غير متوفر

لا تحدد أي عمليات فرعية فردية كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

الإعدادات قيمة

مصدر السمة مورد

السمة اسم الحاوية

عامل StringEquals

قيمة container1

عامل التشغيل المنطقي 'AND'

مصدر السمة البيئة

السمة الشبكه الفرعيه

عامل StringEqualsIgnoreCase

قيمة /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Contributor باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: طلب وصول ارتباط خاص لقراءة الكائنات الثنائية كبيرة الحجم ذات الحساسية العالية

يتطلب هذا الشرط طلبات لقراءة الكائنات الثنائية كبيرة الحجم حيث تحتوي حساسية علامة فهرس الكائن الثنائي كبير الحجم على قيمة high لتكون عبر ارتباط خاص (أي ارتباط خاص). وهذا يعني أن جميع محاولات قراءة الكائنات الثنائية كبيرة الحساسية من الإنترنت العام لن يسمح بها. يمكن للمستخدمين قراءة الكائنات الثنائية كبيرة الحجم من الإنترنت العام التي تم تعيين حساسية لها إلى قيمة أخرى غير high.

فيما يلي جدول الحقيقة لحالة نموذج ABAC هذه:

فعل	الحساسية	ارتباط خاص	ولوج
قراءة كائن ثنائي كبير الحجم	عال	نعم	‏‏مسموح
قراءة كائن ثنائي كبير الحجم	عال	لا	غير مسموح
قراءة كائن ثنائي كبير الحجم	غير مرتفع	نعم	‏‏مسموح
قراءة كائن ثنائي كبير الحجم	غير مرتفع	لا	‏‏مسموح

الإجراء ملاحظات

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام محرر الشرط المرئي في مدخل Microsoft Azure.

إضافة إجراء

حدد إضافة إجراء، ثم حدد فقط العملية الفرعية قراءة كائن ثنائي كبير الحجم كما هو موضح في الجدول التالي.

الإجراء	عملية فرعية
جميع عمليات القراءة	قراءة كائن ثنائي كبير الحجم

لا تحدد إجراء جميع عمليات القراءة من المستوى الأعلى لأي عمليات فرعية أخرى كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

Group (المجموعة) الإعدادات قيمة

المجموعة رقم 1

مصدر السمة مورد

السمة علامات فهرس Blob [القيم في المفتاح]

مفتاح sensitivity

عامل StringEquals

قيمة high

عامل التشغيل المنطقي 'و'

مصدر السمة البيئة

السمة ارتباط خاص

عامل BoolEquals

قيمة True

نهاية المجموعة رقم 1

عامل التشغيل المنطقي 'OR'

مصدر السمة مورد

السمة علامات فهرس Blob [القيم في المفتاح]

مفتاح sensitivity

عامل StringNotEquals

قيمة high

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Reader باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: السماح بالوصول إلى حاوية فقط من نقطة نهاية خاصة معينة

يتطلب هذا الشرط إجراء جميع عمليات القراءة والكتابة والإضافة والحذف للكائنات الثنائية كبيرة الحجم في حاوية تخزين تسمى container1 من خلال نقطة نهاية خاصة تسمى privateendpoint1. بالنسبة لجميع الحاويات الأخرى غير المسماة container1، لا يحتاج الوصول إلى أن يكون من خلال نقطة النهاية الخاصة.

هناك خمسة إجراءات محتملة لقراءة الكائنات الثنائية كبيرة الحجم الموجودة وكتابتها وحذفها. لجعل هذا الشرط فعالا للمديرين الذين لديهم تعيينات أدوار متعددة، يجب إضافة هذا الشرط إلى كافة تعيينات الأدوار التي تتضمن أي من الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام محرر الشرط المرئي في مدخل Microsoft Azure.

إضافة إجراء

حدد إضافة إجراء، ثم حدد إجراءات المستوى الأعلى الموضحة في الجدول التالي فقط.

الإجراء	عملية فرعية
جميع عمليات القراءة	غير متوفر
الكتابة إلى كائن ثنائي كبير الحجم	غير متوفر
إنشاء كائن ثنائي كبير الحجم أو نسخة مطابقة أو إلحاق البيانات	غير متوفر
حذف كائن ثنائي كبير الحجم	غير متوفر

لا تحدد أي عمليات فرعية فردية كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

Group (المجموعة) الإعدادات قيمة

المجموعة رقم 1

مصدر السمة مورد

السمة اسم الحاوية

عامل StringEquals

قيمة container1

عامل التشغيل المنطقي 'و'

مصدر السمة البيئة

السمة نقطة النهاية الخاصة

عامل StringEqualsIgnoreCase

قيمة /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

نهاية المجموعة رقم 1

عامل التشغيل المنطقي 'OR'

مصدر السمة مورد

السمة اسم الحاوية

عامل StringNotEquals

قيمة container1

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

لإضافة الشرط باستخدام محرر التعليمات البرمجية، اختر أحد نماذج التعليمات البرمجية للشرط التالية، اعتمادا على الدور المقترن بالتعيين. بعد إدخال التعليمات البرمجية الخاصة بك، قم بالتبديل مرة أخرى إلى المحرر المرئي للتحقق من صحته.

مالك بيانات كائن ثنائي كبير الحجم للتخزين:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

مساهم بيانات كائن ثنائي كبير الحجم للتخزين:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Contributor باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: السماح بالوصول للقراءة إلى بيانات الكائن الثنائي كبير الحجم الحساسة للغاية فقط من نقطة نهاية خاصة معينة ومن قبل المستخدمين الذين تم وضع علامة لهم للوصول

يتطلب هذا الشرط أن الكائنات الثنائية كبيرة الحجم مع مجموعة حساسية علامة الفهرس يمكن high قراءتها فقط من قبل المستخدمين الذين لديهم قيمة مطابقة لسمة أمان الحساسية الخاصة بهم. بالإضافة إلى ذلك، يجب الوصول إليها عبر نقطة نهاية خاصة تسمى privateendpoint1. يمكن الوصول إلى الكائنات الثنائية كبيرة الحجم التي لها قيمة مختلفة لعلامة الحساسية عبر نقاط النهاية الأخرى أو الإنترنت.

الإجراء ملاحظات

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام محرر الشرط المرئي في مدخل Microsoft Azure.

إضافة إجراء

حدد إضافة إجراء، ثم حدد فقط العملية الفرعية قراءة كائن ثنائي كبير الحجم كما هو موضح في الجدول التالي.

الإجراء	عملية فرعية
جميع عمليات القراءة	قراءة كائن ثنائي كبير الحجم

لا تحدد إجراء المستوى الأعلى كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

Group (المجموعة)	الإعدادات	قيمة
المجموعة رقم 1
	مصدر السمة	رئيسي
	السمة	<attributeset>_<key>
	عامل	StringEquals
	خيار	السمة
	عامل التشغيل المنطقي	'و'
	مصدر السمة	مورد
	السمة	علامات فهرس Blob [القيم في المفتاح]
	مفتاح	<مفتاح>
	عامل التشغيل المنطقي	'و'
	مصدر السمة	البيئة
	السمة	نقطة النهاية الخاصة
	عامل	StringEqualsIgnoreCase
	قيمة	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
نهاية المجموعة رقم 1
	عامل التشغيل المنطقي	'OR'
	مصدر السمة	مورد
	السمة	علامات فهرس Blob [القيم في المفتاح]
	مفتاح	`sensitivity`
	عامل	StringNotEquals
	قيمة	`high`

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Reader باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

الخطوات التالية

الملاحظات

هل كانت هذه الصفحة مفيدة؟

Last updated on 2024-04-01

مشاركة عبر

مثال على شروط تعيين دور Azure ل Blob Storage

المتطلبات الأساسية

ملخص الأمثلة في هذه المقالة

علامات فهرس البيانات كبيرة الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم

مثال: يجب أن تتضمن الكائنات الثنائية كبيرة الحجم الجديدة علامة فهرس كائن ثنائي كبير الحجم

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفاتيح علامات فهرس الكائنات الثنائية كبيرة الحجم

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفتاح علامة فهرس كائن ثنائي كبير الحجم وقيم

أسماء أو مسارات حاوية كائن ثنائي كبير الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات مسماة

مثال: قراءة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار

مثال: قراءة أو سرد الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار

مثال: كتابة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم ومسار

بيانات تعريف حاوية كائن ثنائي كبير الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم في الحاوية مع بيانات تعريف محددة

مثال: كتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاوية مع بيانات تعريف محددة

إصدارات Blob أو لقطات الكائن الثنائي كبير الحجم

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وإصدار كائن ثنائي كبير الحجم محدد

مثال: حذف إصدارات الكائن الثنائي كبير الحجم القديمة

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات blob

مثال: السماح لعملية كائن ثنائي كبير الحجم للقائمة بتضمين بيانات تعريف الكائن الثنائي كبير الحجم أو اللقطات أو الإصدارات

مثال: تقييد عملية كائن ثنائي كبير الحجم للقائمة بحيث لا تتضمن بيانات تعريف الكائن الثنائي كبير الحجم

مساحة الاسم الهرمية

مثال: قراءة حسابات التخزين فقط مع تمكين مساحة الاسم الهرمية

نطاق التشفير

مثال: قراءة الكائنات الثنائية كبيرة الحجم ذات نطاقات تشفير محددة

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب تخزين مسمى مع نطاق تشفير محدد

السمات الأساسية

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة

مثال: قراءة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة متعددة القيم

سمات البيئة

مثال: السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم بعد تاريخ ووقت محددين

إضافة إجراء

بناء التعبير

مثال: السماح بالوصول إلى الكائنات الثنائية كبيرة الحجم في حاويات معينة من شبكة فرعية معينة

إضافة إجراء

بناء التعبير

مثال: طلب وصول ارتباط خاص لقراءة الكائنات الثنائية كبيرة الحجم ذات الحساسية العالية

إضافة إجراء

بناء التعبير

مثال: السماح بالوصول إلى حاوية فقط من نقطة نهاية خاصة معينة

إضافة إجراء

بناء التعبير

مثال: السماح بالوصول للقراءة إلى بيانات الكائن الثنائي كبير الحجم الحساسة للغاية فقط من نقطة نهاية خاصة معينة ومن قبل المستخدمين الذين تم وضع علامة لهم للوصول

إضافة إجراء

بناء التعبير

الخطوات التالية

الملاحظات

الموارد الإضافية