مثال على شروط تعيين دور Azure ل Blob Storage

مقالة
04/01/2024

تسرد هذه المقالة بعض الأمثلة على شروط تعيين الدور للتحكم في الوصول إلى Azure Blob Storage.

هام

يتوفر التحكم في الوصول المستند إلى سمة Azure (Azure ABAC) بشكل عام (GA) للتحكم في الوصول إلى Azure Blob Storage وAzure Data Lake Storage Gen2 وقوائم انتظار Azure باستخدام requestresourceenvironmentprincipal سمات و في كل من مستويات أداء حساب التخزين القياسية والمتميزة. حاليا، توجد سمة مورد بيانات تعريف الحاوية وسمة طلب قائمة كائن ثنائي كبير الحجم في PREVIEW. للحصول على معلومات حالة الميزة الكاملة ل ABAC لتخزين Azure، راجع حالة ميزات الشرط في Azure Storage.

للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

المتطلبات الأساسية

للحصول على معلومات حول المتطلبات الأساسية لإضافة شروط تعيين الدور أو تحريرها، انظر الشروط المطلوبة.

ملخص الأمثلة في هذه المقالة

استخدم الجدول التالي لتحديد موقع مثال يناسب سيناريو ABAC بسرعة. يتضمن الجدول وصفا موجزا للسيناريو، بالإضافة إلى قائمة السمات المستخدمة في المثال حسب المصدر (البيئة، الأساسي، الطلب والمورد).

مثال	البيئة	أساسي	طلب	Resource
قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم				العلامات
يجب أن تتضمن الكائنات الثنائية كبيرة الحجم الجديدة علامة فهرس كائن ثنائي كبير الحجم			العلامات
يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفاتيح علامات فهرس الكائنات الثنائية كبيرة الحجم			العلامات
يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفتاح علامة فهرس كائن ثنائي كبير الحجم وقيم			العلامات
قراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات مسماة				container name
قراءة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار				مسار كائن ثنائي كبير الحجم لاسم الحاوية
قراءة الكائنات الثنائية كبيرة الحجم أو سردها في حاويات مسماة بمسار			بادئة الكائن الثنائي كبير الحجم	مسار كائن ثنائي كبير الحجم لاسم الحاوية
كتابة الكائنات الثنائية كبيرة الحجم في حاويات مسماة بمسار				مسار كائن ثنائي كبير الحجم لاسم الحاوية
قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم ومسار				مسار الكائن الثنائي كبير الحجم للعلامات
قراءة الكائنات الثنائية كبيرة الحجم في الحاوية مع بيانات تعريف محددة				بيانات تعريف الحاوية
كتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاوية مع بيانات تعريف محددة				بيانات تعريف الحاوية
قراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط				isCurrentVersion
قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وإصدار كائن ثنائي كبير الحجم محدد			معرف الإصدار	isCurrentVersion
حذف إصدارات الكائن الثنائي كبير الحجم القديمة			معرف الإصدار
قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات للكائنات الثنائية كبيرة الحجم			اللقطة	isCurrentVersion
السماح لعملية قائمة كائن ثنائي كبير الحجم بتضمين بيانات تعريف الكائن الثنائي كبير الحجم أو اللقطات أو الإصدارات			تضمين كائن ثنائي كبير الحجم للقائمة
تقييد عملية كائن ثنائي كبير الحجم للقائمة بحيث لا تتضمن بيانات تعريف الكائن الثنائي كبير الحجم			تضمين كائن ثنائي كبير الحجم للقائمة
قراءة حسابات التخزين فقط مع تمكين مساحة الاسم الهرمية				isHnsEnabled
قراءة الكائنات الثنائية كبيرة الحجم مع نطاقات تشفير محددة				اسم نطاق التشفير
قراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب تخزين مسمى مع نطاق تشفير محدد				اسم نطاق تشفير حساب التخزين
قراءة أو كتابة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة		المعرف	العلامات	العلامات
قراءة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائنات الثنائية كبيرة الحجم وسمات الأمان المخصصة متعددة القيم		المعرف		العلامات
السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم بعد تاريخ ووقت محددين	UtcNow			container name
السماح بالوصول إلى الكائنات الثنائية كبيرة الحجم في حاويات معينة من شبكة فرعية معينة	الشبكة الفرعية			container name
طلب وصول ارتباط خاص لقراءة الكائنات الثنائية كبيرة الحجم ذات الحساسية العالية	isPrivateLink			العلامات
السماح بالوصول إلى حاوية فقط من نقطة نهاية خاصة معينة	نقطة النهاية الخاصة			container name
مثال: السماح بالوصول للقراءة إلى بيانات الكائن الثنائي كبير الحجم الحساسة للغاية فقط من نقطة نهاية خاصة معينة ومن قبل المستخدمين الذين تم وضع علامة لهم للوصول	نقطة النهاية الخاصة	المعرف		العلامات

علامات فهرس البيانات كبيرة الحجم

يتضمن هذا القسم أمثلة تتضمن علامات فهرس كائن ثنائي كبير الحجم.

هام

Read content from a blob with tag conditions على الرغم من أن التشغيل الفرعي مدعوم حاليا للتوافق مع الشروط التي تم تنفيذها أثناء معاينة ميزة ABAC، فقد تم إهماله وتوصي Microsoft باستخدام Read a blob الإجراء بدلا من ذلك.

عند تكوين شروط ABAC في مدخل Microsoft Azure، قد ترى DEPRECATED: قراءة المحتوى من كائن ثنائي كبير الحجم بشروط العلامة. توصي Microsoft بإزالة العملية واستبدالها بالإجراء Read a blob .

إذا كنت تقوم بتأليف الشرط الخاص بك حيث تريد تقييد الوصول للقراءة حسب شروط العلامة، يرجى الرجوع إلى مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم.

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم

يسمح هذا الشرط للمستخدمين بقراءة الكائنات الثنائية كبيرة الحجم باستخدام مفتاح علامة فهرس كائن ثنائي كبير الحجم لمشروع وقيمة Cascade. محاولات الوصول إلى الكائنات الثنائية كبيرة الحجم بدون علامة قيمة المفتاح هذه غير مسموح بها.

لكي يكون هذا الشرط فعالا لمدير الأمان، يجب إضافته إلى كافة تعيينات الأدوار الخاصة به والتي تتضمن الإجراءات التالية:

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم مع علامة فهرس كائن ثنائي كبير الحجم.

يمكن إضافة الشرط إلى تعيين دور باستخدام إما مدخل Azure أو Azure PowerShell. يحتوي المدخل على أداتين لبناء شروط ABAC - المحرر المرئي ومحرر التعليمات البرمجية. يمكنك التبديل بين المحررين في مدخل Microsoft Azure للاطلاع على شروطك في طرق عرض مختلفة. التبديل بين علامة التبويب محرر المرئيات وعلامات تبويب محرر التعليمات البرمجية لعرض الأمثلة لمحرر المدخل المفضل لديك.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام المحرر المرئي لمدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	المورد
السمة	علامات فهرس Blob [القيم في المفتاح]
المفتاح	{اسم المفتاح}
عامل تشغيل	StringEquals
القيمة‬	{قيمة المفتاح}

لإضافة الشرط باستخدام محرر التعليمات البرمجية، انسخ نموذج رمز الشرط والصقه في محرر التعليمات البرمجية. بعد إدخال التعليمات البرمجية الخاصة بك، قم بالتبديل مرة أخرى إلى المحرر المرئي للتحقق من صحته.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة إلا عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أن عملية List Blobs مسموح بها، ولكن يتم تقييم جميع إجراءات القراءة الأخرى بشكل أكبر مقابل التعبير الذي يتحقق من علامة فهرس الكائن الثنائي كبير الحجم.

إذا حاول مستخدم تنفيذ إجراء في الدور المعين ليس إجراء مقيدا بالشرط، !(ActionMatches) يتم تقييمه إلى صحيح ويتم تقييم الشرط الإجمالي إلى صحيح. تسمح هذه النتيجة بتنفيذ الإجراء.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

مثال: يجب أن تتضمن الكائنات الثنائية كبيرة الحجم الجديدة علامة فهرس كائن ثنائي كبير الحجم

يتطلب هذا الشرط أن تتضمن أي كائنات ثنائية كبيرة الحجم جديدة مفتاح علامة فهرس كائن ثنائي كبير الحجم للمشروع وقيمة Cascade.

هناك اثنين من الإجراءات يسمحان لك بإنشاء كائنات ثنائية كبيرة الحجم جديدة، لذلك يجب عليك استهداف كليهما. يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن أحد الإجراءات التالية:

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي لحالة يوضح أن الكائنات الثنائية كبيرة الحجم يجب أن تتضمن علامة فهرس كائن ثنائي كبير الحجم.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم
مصدر السمة	طلب
السمة	علامات فهرس Blob [القيم في المفتاح]
المفتاح	{اسم المفتاح}
عامل تشغيل	StringEquals
القيمة‬	{قيمة المفتاح}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفاتيح علامات فهرس كائن ثنائي كبير الحجم

يتطلب هذا الشرط وضع علامة على أي كائنات ثنائية كبيرة الحجم موجودة باستخدام واحد على الأقل من مفاتيح علامة فهرس كائن ثنائي كبير الحجم المسموح بها: لمشروع أو برنامج. هذا الشرط مفيد لإضافة الحوكمة إلى الكائنات الثنائية كبيرة الحجم الموجودة.

هناك اثنين من الإجراءات يسمحان لك بتحديث العلامات على الكائنات الثنائية كبيرة الحجم الموجودة، لذلك يجب عليك استهداف كليهما. يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن أحد الإجراءات التالية:

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي لحالة يوضح أن الكائنات الثنائية كبيرة الحجم الموجودة يجب أن تتضمن مفاتيح علامة فهرس كائن ثنائي كبير.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم كتابة علامات فهرس كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	علامات فهرس كائن ثنائي كبير الحجم [مفاتيح]
عامل تشغيل	ForAllOfAnyValues:StringEquals
القيمة‬	{اسم المفتاح 1} {اسم المفتاح 2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفتاح وقيم فهرس كائن ثنائي كبير الحجم

يتطلب هذا الشرط أن يكون لأي كائنات ثنائية كبيرة الحجم موجودة مفتاح علامة فهرس كائن ثنائي كبير الحجم لمشروع وقيم العلامات الخاصة Cascade أو Baker أو Skagit. هذا الشرط مفيد لإضافة الحوكمة إلى الكائنات الثنائية كبيرة الحجم الموجودة.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي لحالة يوضح أن الكائنات الثنائية كبيرة الحجم الموجودة يجب أن تتضمن قيم ومفاتيح علامة فهرس كائن ثنائي كبير.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم كتابة علامات فهرس كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	علامات فهرس كائن ثنائي كبير الحجم [مفاتيح]
عامل تشغيل	ForAnyOfAnyValues:StringEquals
القيمة‬	{اسم المفتاح}
عامل تشغيل	و
Expression 2
مصدر السمة	طلب
السمة	علامات فهرس Blob [القيم في المفتاح]
المفتاح	{اسم المفتاح}
عامل تشغيل	ForAllOfAnyValues:StringEquals
القيمة‬	{قيمة المفتاح 1} {قيمة المفتاح 2} {قيمة المفتاح 3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

أسماء أو مسارات حاوية كائن ثنائي كبير الحجم

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى اسم الحاوية أو مسار الكائن الثنائي كبير الحجم.

مثال: قراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات مسماة

يسمح هذا الشرط للمستخدمين بقراءة أو كتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاويات التخزين المسماة حاوية - مثال - كائنات ثنائية كبير الحجم. هذا الشرط مفيد لمشاركة حاويات تخزين محددة مع مستخدمين آخرين في اشتراك.

هناك خمسة إجراءات لقراءة الكائنات الثنائية كبيرة الحجم الموجودة وكتابتها وحذفها. يجب إضافة هذا الشرط إلى أي تعيينات أدوار تتضمن أحد الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

لا يتم استخدام التشغيلات الفرعية في هذا الشرط لأن التشغيل الفرعي مطلوب فقط عند تأليف الشروط استنادا إلى العلامات.

رسم تخطيطي للحالة يُظهر قراءة أو كتابة أو حذف الكائنات الثنائية كبيرة الحجم في الحاويات المسماة.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	حذف كائن ثنائي كبير الحجم قراءة كائن ثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم إنشاء كائن ثنائي كبير الحجم أو لقطة أو إلحاق البيانات جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	المورد
السمة	اسم الحاوية
عامل تشغيل	StringEquals
القيمة‬	{اسم الحاوية}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

المساهم في بيانات مخزن البيانات الثنائية الكبيرة

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

مثال: قراءة الكائنات الثنائية كبيرة الحجم في حاويات مسماة باستخدام مسار

يسمح هذا الشرط بالوصول للقراءة إلى حاويات التخزين المسماة حاوية - مثال - كائنات ثنائية كبيرة الحجم مع مسار كائن ثنائي كبير الحجم للقراءة فقط/*. هذا الشرط مفيد لمشاركة أجزاء معينة من حاويات التخزين للوصول للقراءة مع مستخدمين آخرين في الاشتراك.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم في الحاويات المسماة باستخدام مسار.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	المورد
السمة	اسم الحاوية
عامل تشغيل	StringEquals
القيمة‬	{اسم الحاوية}
Expression 2
عامل تشغيل	و
مصدر السمة	المورد
السمة	مسار كائن ثنائي كبير الحجم
عامل تشغيل	StringLike
القيمة‬	{سلسلة المسار}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

مثال: قراءة أو سرد الكائنات الثنائية كبيرة الحجم في حاويات مسماة باستخدام مسار

يسمح هذا الشرط بالوصول للقراءة إلى حاويات التخزين المسماة حاوية-مثال-كائنات ثنائية كبيرة الحجم مع مسار كائن ثنائي كبير الحجم للقراءة فقط/*. ينطبق الشرط رقم 1 على إجراءات القراءة باستثناء سرد الكائنات الثنائية كبيرة الحجم. ينطبق الشرط رقم 2 على سرد الكائنات الثنائية كبيرة الحجم. هذا الشرط مفيد لمشاركة أجزاء معينة من حاويات التخزين للوصول للقراءة مع مستخدمين آخرين في الاشتراك.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة والسرد إلى الكائنات الثنائية كبيرة الحجم في الحاويات المسماة باستخدام مسار.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

إشعار

يستخدم مدخل Azure البادئة ='' لسرد الكائنات الثنائية كبيرة الحجم من الدليل الجذر للحاوية. بعد إضافة الشرط مع عملية الكائنات الثنائية كبيرة الحجم للقائمة باستخدام البادئة StringStartsWith 'القراءة فقط '/، لن يتمكن المستخدمون المستهدفون من سرد الكائنات الثنائية كبيرة الحجم من الدليل الجذر للحاوية في مدخل Microsoft Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	المورد
السمة	اسم الحاوية
عامل تشغيل	StringEquals
القيمة‬	{اسم الحاوية}
Expression 2
عامل تشغيل	و
مصدر السمة	المورد
السمة	مسار كائن ثنائي كبير الحجم
عامل تشغيل	StringStartsWith
القيمة‬	{سلسلة المسار}

الشرط رقم 2	الإعدادات
الإجراءات	سرد الكيانات الثنائية كبيرة الحجم جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	المورد
السمة	اسم الحاوية
عامل تشغيل	StringEquals
القيمة‬	{اسم الحاوية}
Expression 2
عامل تشغيل	و
مصدر السمة	طلب
السمة	بادئة كائن ثنائي كبير الحجم
عامل تشغيل	StringStartsWith
القيمة‬	{سلسلة المسار}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: كتابة الكائنات الثنائية كبيرة الحجم في حاويات مسماة باستخدام مسار

يسمح هذا الشرط لشريك (مستخدم ضيف Microsoft Entra) بإسقاط الملفات في حاويات التخزين المسماة Contosocorp مع مسار التحميلات/contoso/*. هذا الشرط مفيد للسماح للمستخدمين الآخرين بوضع البيانات في حاويات التخزين.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

رسم تخطيطي للحالة يظهر حق الوصول للكتابة إلى الكائنات الثنائية كبيرة الحجم في الحاويات المسماة باستخدام مسار.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم إنشاء كائن ثنائي كبير الحجم أو لقطة أو إلحاق البيانات جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	المورد
السمة	اسم الحاوية
عامل تشغيل	StringEquals
القيمة‬	{اسم الحاوية}
Expression 2
عامل تشغيل	و
مصدر السمة	المورد
السمة	مسار كائن ثنائي كبير الحجم
عامل تشغيل	StringLike
القيمة‬	{سلسلة المسار}

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

المساهم في بيانات مخزن البيانات الثنائية الكبيرة

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم ومسار

يسمح هذا الشرط للمستخدم بقراءة الكائنات الثنائية كبيرة الحجم باستخدام مفتاح علامة فهرس كائن ثنائي كبير الحجم الخاص بالبرنامج، وقيمة جبال الألب ومسار كائن ثنائي كبير الحجم من السجلات*. يتضمن مسار الكائن الثنائي كبير الحجم للسجلات* أيضًا اسم الكائن الثنائي كبير الحجم.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم مع علامة ومسار فهرس كائن ثنائي كبير الحجم.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	المورد
السمة	علامات فهرس Blob [القيم في المفتاح]
المفتاح	{اسم المفتاح}
عامل تشغيل	StringEquals
القيمة‬	{قيمة المفتاح}

الشرط رقم 2	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	المورد
السمة	مسار كائن ثنائي كبير الحجم
عامل تشغيل	StringLike
القيمة‬	{سلسلة المسار}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة إلا عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أن عملية List Blobs مسموح بها، ولكن يتم تقييم جميع إجراءات القراءة الأخرى بشكل أكبر مقابل التعبير الذي يتحقق من علامة ومسار فهرس الكائن الثنائي كبير الحجم.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إليك كيفية اختبار هذا الشرط.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

بيانات تعريف حاوية كائن ثنائي كبير الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم في الحاوية مع بيانات تعريف محددة

يسمح هذا الشرط للمستخدمين بقراءة الكائنات الثنائية كبيرة الحجم في حاويات الكائنات الثنائية كبيرة الحجم مع زوج مفتاح/قيمة بيانات تعريف محددة.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	المورد
السمة	بيانات تعريف الحاوية
عامل تشغيل	StringEquals
القيمة‬	{اسم الحاوية}

قارئ بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: كتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاوية مع بيانات تعريف محددة

يسمح هذا الشرط للمستخدمين بكتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاويات كائن ثنائي كبير الحجم مع مفتاح/قيمة بيانات تعريف معينة.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم حذف كائن ثنائي كبير الحجم
مصدر السمة	المورد
السمة	بيانات تعريف الحاوية
عامل تشغيل	StringEquals
القيمة‬	{اسم الحاوية}

المساهم في بيانات مخزن البيانات الثنائية الكبيرة

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

إليك كيفية إضافة هذا الشرط باستخدام Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

إصدارات أو لقطات الكائنات الثنائية كبيرة الحجم

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى إصدار الكائن الثنائي كبير الحجم أو اللقطة.

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط

يسمح هذا الشرط للمستخدم بقراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط. لا يمكن للمستخدم قراءة إصدارات blob الأخرى.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة إلى إصدار كائن ثنائي كبير الحجم حالي فقط.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	المورد
السمة	هو الإصدار الحالي
عامل تشغيل	BoolEquals
القيمة‬	صواب

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وإصدار كائن ثنائي كبير الحجم محدد

يسمح هذا الشرط للمستخدم بقراءة إصدارات الكائن الثنائي كبير الحجم الحالية بالإضافة إلى قراءة الكائنات الثنائية كبيرة الحجم بمعرف إصدار 2022-06-01T23:38:32.8883645Z. لا يمكن للمستخدم قراءة إصدارات blob الأخرى. تتوفر سمة معرف الإصدار فقط لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

رسم تخطيطي للحالة يظهر حق الوصول للقراءة إلى إصدار كائن ثنائي كبير الحجم محدد.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	معرف الإصدار
عامل تشغيل	DateTimeEquals
القيمة‬	<blobVersionId>
Expression 2
عامل تشغيل	أو
مصدر السمة	المورد
السمة	هو الإصدار الحالي
عامل تشغيل	BoolEquals
القيمة‬	صواب

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: حذف إصدارات الكائن الثنائي كبير الحجم القديمة

يسمح هذا الشرط للمستخدم بحذف إصدارات كائن ثنائي كبير الحجم أقدم من 06/01/2022 لإجراء التنظيف. تتوفر سمة معرف الإصدار فقط لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

رسم تخطيطي للحالة يظهر حق الوصول للحذف إلى إصدارات كائنات ثنائية كبيرة الحجم قديمة.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	حذف كائن ثنائي كبير الحجم حذف إصدار من كائن ثنائي كبير الحجم
مصدر السمة	طلب
السمة	معرف الإصدار
عامل تشغيل	DateTimeLessThan
القيمة‬	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات كائن ثنائي كبير الحجم

يسمح هذا الشرط للمستخدم بقراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات الكائن ثنائي كبير الحجم. تتوفر سمة معرف الإصدار فقط لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية. تتوفر سمة اللقطة لحسابات التخزين حيث لا يتم تمكين مساحة الاسم الهرمية وفي الوقت الحالي معاينة لحسابات التخزين حيث يتم تمكين مساحة الاسم الهرمية.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة إلى إصدار كائن ثنائي كبير الحجم حالي وأي لقطات كائن ثنائي كبير الحجم.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	طلب
السمة	لقطه
موجود	التحقق
Expression 2
عامل تشغيل	أو
مصدر السمة	المورد
السمة	هو الإصدار الحالي
عامل تشغيل	BoolEquals
القيمة‬	صواب

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: السماح لعملية كائن ثنائي كبير الحجم للقائمة بتضمين بيانات تعريف الكائن الثنائي كبير الحجم أو اللقطات أو الإصدارات

يسمح هذا الشرط للمستخدم بإدراج الكائنات الثنائية كبيرة الحجم في حاوية وتضمين بيانات التعريف واللقطة ومعلومات الإصدار. تتوفر سمة قائمة الكائنات الثنائية كبيرة الحجم لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

إشعار

تتضمن الكائنات الثنائية كبيرة الحجم القائمة سمة طلب، وتعمل عن طريق السماح بالقيم أو تقييدها في المعلمة include عند استدعاء عملية قائمة الكائنات الثنائية كبيرة الحجم . تتم مقارنة القيم في المعلمة include بالقيم المحددة في الشرط باستخدام عوامل المقارنة عبر المنتجات. إذا تم تقييم المقارنة إلى true، List Blobs يسمح بالطلب. إذا تم تقييم المقارنة إلى خطأ، List Blobs يتم رفض الطلب.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	سرد الكيانات الثنائية كبيرة الحجم
مصدر السمة	طلب
السمة	تتضمن الكائنات الثنائية كبيرة الحجم القائمة
عامل تشغيل	ForAllOfAnyValues:StringEqualsIgnoreCase
القيمة‬	{'metadata', 'snapshots', 'versions'}

قارئ بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أنه يتم تقييم عملية قائمة الكائنات الثنائية كبيرة الحجم بشكل أكبر مقابل التعبير الذي يتحقق من include القيم، ولكن يسمح بجميع إجراءات القراءة الأخرى.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: تقييد عملية كائن ثنائي كبير الحجم للقائمة بحيث لا تتضمن بيانات تعريف الكائن الثنائي كبير الحجم

يقيد هذا الشرط المستخدم من سرد الكائنات الثنائية كبيرة الحجم عند تضمين بيانات التعريف في الطلب. تتوفر سمة قائمة الكائنات الثنائية كبيرة الحجم لحسابات التخزين حيث لم يتم تمكين مساحة الاسم الهرمية.

إشعار

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	سرد الكيانات الثنائية كبيرة الحجم
مصدر السمة	طلب
السمة	تتضمن الكائنات الثنائية كبيرة الحجم القائمة
عامل تشغيل	ForAllOfAllValues:StringNotEquals
القيمة‬	{'metadata'}

قارئ بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مساحة الاسم الهرمية

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى ما إذا كانت مساحة الاسم الهرمية ممكنة لحساب تخزين.

مثال: قراءة حسابات التخزين فقط مع تمكين مساحة الاسم الهرمية

يسمح هذا الشرط للمستخدم بقراءة الكائنات الثنائية كبيرة الحجم فقط في حسابات التخزين مع تمكين مساحة الاسم الهرمية. ينطبق هذا الشرط فقط في نطاق مجموعة الموارد أو أعلى.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي لحالة يظهر حق الوصول للقراءة إلى حسابات التخزين مع تمكين مساحة الأسماء الهرمية.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم جميع عمليات البيانات للحسابات مع تمكين مساحة الاسم الهرمية (إن أمكن)
مصدر السمة	المورد
السمة	هل مساحة الاسم الهرمية ممكنة
عامل تشغيل	BoolEquals
القيمة‬	صواب

مالك بيانات للبيانات الثنائية الكبيرة للتخزين

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

نطاق التشفير

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات ذات نطاق تشفير معتمد.

مثال: قراءة الكائنات الثنائية كبيرة الحجم ذات نطاقات تشفير محددة

يسمح هذا الشرط للمستخدم بقراءة الكائنات الثنائية كبيرة الحجم المشفرة مع نطاق التشفير validScope1 أو validScope2.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة إلى الكائن الثنائية كبيرة الحجم مع نطاق التشفير validScope1 أو validScope2.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم
مصدر السمة	المورد
السمة	اسم نطاق التشفير
عامل تشغيل	ForAnyOfAnyValues:StringEquals
القيمة‬	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب التخزين المسمى مع نطاق تشفير محدد

يسمح هذا الشرط للمستخدم بقراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب تخزين المسمي sampleaccount ومشفرة مع نطاق التشفير ScopeCustomKey1. إذا لم يتم تشفير الكائنات الثنائية كبيرة الحجم أو فك تشفيرها باستخدام ScopeCustomKey1، يرجع الطلب محظورا.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

إشعار

نظرا لأن نطاقات التشفير لحسابات التخزين المختلفة قد تكون مختلفة، فمن المستحسن استخدام السمة storageAccounts:name مع السمة encryptionScopes:name لتقييد نطاق التشفير المحدد المسموح به.

رسم تخطيطي للحالة يظهر حق الوصول للقراءة أو الكتابة إلى الكائنات الثنائية كبيرة الحجم في نموذج حساب تخزين الحساب مع نطاق التشفير ScopeCustomKey1.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة كائن ثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم إنشاء كائن ثنائي كبير الحجم أو لقطة أو إلحاق البيانات
مصدر السمة	المورد
السمة	Account name
عامل تشغيل	StringEquals
القيمة‬	<accountName>
Expression 2
عامل تشغيل	و
مصدر السمة	المورد
السمة	اسم نطاق التشفير
عامل تشغيل	ForAnyOfAnyValues:StringEquals
القيمة‬	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

السمات الأساسية

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى أساسيات الأمان المخصصة.

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائن الثنائي كبير الحجم وسمات الأمان المخصصة

يسمح هذا الشرط بالوصول للقراءة أوالكتابة إلى الكائنات الثنائية كبيرة الحجم إذا كان لدى المستخدم سمة أمان مخصصة تتطابق مع علامة فهرس كائن ثنائي كبير الحجم.

على سبيل المثال، إذا كان لدى بريندا السمة Project=Baker، فيمكنها فقط قراءة وكتابة الكائنات الثنائية كبيرة الحجم باستخدام Project=Baker علامة الفهرس الكائن الثنائي كبير الحجم. وبالمثل، يمكن لتشاندرا فقط قراءة أوكتابة الكائنات الثنائية كبيرة الحجم باستخدام Project=Cascade.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

لمزيد من المعلومات، راجع السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم استنادا إلى العلامات وسمات الأمان المخصصة.

رسم تخطيطي للحالة يُظهر حق الوصول للقراءة أو الكتابة إلى الكائنات الثنائية كبيرة الحجم استنادًا إلى علامات فهرس كائن ثنائي كبير الحجم وسمات الأمان المخصصة.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة شروط كائن ثنائي كبير الحجم
مصدر السمة	الرئيسيه
السمة	<مجموعة السمات>_<المفتاح>
عامل تشغيل	StringEquals
خيار	السمة
مصدر السمة	المورد
السمة	علامات فهرس Blob [القيم في المفتاح]
المفتاح	<مفتاح>

الشرط رقم 2	الإعدادات
الإجراءات	الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم الكتابة إلى كائن ثنائي كبير الحجم باستخدام علامات فهرس الكائن الثنائي كبير الحجم
مصدر السمة	الرئيسيه
السمة	<مجموعة السمات>_<المفتاح>
عامل تشغيل	StringEquals
خيار	السمة
مصدر السمة	طلب
السمة	علامات فهرس Blob [القيم في المفتاح]
المفتاح	<مفتاح>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

مثال: قراءة الكائنات الثنائية كبيرة الحجم استنادًا إلى علامات فهرس الكائن ثنائي كبير الحجم وسمات الأمان المخصصة متعددة القيم

يسمح هذا الشرط بالوصول للقراءة إلى النقاط إذا كان لدى المستخدم سمة أمان مخصصة مع أي قيم تتطابق مع علامة فهرس كائن ثنائي كبير الحجم.

على سبيل المثال، إذا كان لدى تشاندرا سمة المشروع مع القيم بيكر وتتالٍ، فيمكنها فقط قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم Project=Baker أو Project=Cascade.

يجب إضافة هذا الشرط إلى أي تعيينات دور تتضمن الإجراء التالي.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

رسم تخطيطي للحالة يُظهر حق الوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم استنادًا إلى علامات فهرس كائن ثنائي كبير الحجم وسمات الأمان المخصصة متعددة القيم.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام مدخل Azure.

الشرط رقم 1	الإعدادات
الإجراءات	قراءة شروط كائن ثنائي كبير الحجم
مصدر السمة	المورد
السمة	علامات فهرس Blob [القيم في المفتاح]
المفتاح	<مفتاح>
عامل تشغيل	ForAnyOfAnyValues:StringEquals
خيار	السمة
مصدر السمة	الرئيسيه
السمة	<مجموعة السمات>_<المفتاح>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

في هذا المثال، يقيد الشرط إجراء القراءة إلا عندما يكون التشغيل الفرعي هو Blob.List. وهذا يعني أن عملية List Blobs مسموح بها، ولكن يتم تقييم جميع إجراءات القراءة الأخرى بشكل أكبر مقابل التعبير الذي يتحقق من علامات فهرس الكائن الثنائي كبير الحجم وسمات الأمان المخصصة.

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

سمات البيئة

يتضمن هذا القسم أمثلة توضح كيفية تقييد الوصول إلى الكائنات استنادا إلى بيئة الشبكة أو التاريخ والوقت الحاليين.

مثال: السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم بعد تاريخ ووقت محددين

يسمح هذا الشرط بالوصول للقراءة إلى حاوية container1 الكائن الثنائي كبير الحجم فقط بعد الساعة 1 مساء في 1 مايو 2023 التوقيت العالمي المتفق عليه (UTC).

هناك إجراءان محتملان لقراءة الكائنات الثنائية كبيرة الحجم الموجودة. لجعل هذا الشرط فعالا للمديرين الذين لديهم تعيينات أدوار متعددة، يجب إضافة هذا الشرط إلى كافة تعيينات الأدوار التي تتضمن أي من الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

إضافة إجراء

حدد إضافة إجراء، ثم حدد فقط العملية الفرعية قراءة كائن ثنائي كبير الحجم كما هو موضح في الجدول التالي.

الإجراء	عملية فرعية
جميع عمليات القراءة	قراءة كائن ثنائي كبير الحجم

لا تحدد إجراء جميع عمليات القراءة من المستوى الأعلى أو أي عمليات فرعية أخرى كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

الإعداد القيمة‬

مصدر السمة المورد

السمة اسم الحاوية

عامل تشغيل StringEquals

القيمة‬ container1

عامل التشغيل المنطقي 'AND'

مصدر السمة البيئة

السمة UtcNow

عامل تشغيل DateTimeGreaterThan

القيمة‬ 2023-05-01T13:00:00.000Z

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

لإضافة الشرط باستخدام محرر التعليمات البرمجية، انسخ نموذج رمز الشرط التالي والصقه في محرر التعليمات البرمجية. بعد إدخال التعليمات البرمجية الخاصة بك، قم بالتبديل مرة أخرى إلى المحرر المرئي للتحقق من صحته.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Reader باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: السماح بالوصول إلى الكائنات الثنائية كبيرة الحجم في حاويات معينة من شبكة فرعية معينة

يسمح هذا الشرط بقراءة وكتابة وإضافة وحذف الوصول إلى الكائنات الثنائية كبيرة الحجم في container1 فقط من الشبكة default الفرعية على الشبكة الظاهرية virtualnetwork1. لاستخدام سمة الشبكة الفرعية في هذا المثال، يجب أن يكون للشبكة الفرعية نقاط نهاية خدمة ممكنة ل Azure Storage.

هناك خمسة إجراءات محتملة للقراءة والكتابة وإضافة وحذف الوصول إلى الكائنات الثنائية كبيرة الحجم الموجودة. لجعل هذا الشرط فعالا للمديرين الذين لديهم تعيينات أدوار متعددة، يجب إضافة هذا الشرط إلى كافة تعيينات الأدوار التي تتضمن أي من الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

إضافة إجراء

حدد إضافة إجراء، ثم حدد إجراءات المستوى الأعلى الموضحة في الجدول التالي فقط.

الإجراء	عملية فرعية
جميع عمليات القراءة	غير متوفر
الكتابة إلى كائن ثنائي كبير الحجم	غير متوفر
إنشاء كائن ثنائي كبير الحجم أو نسخة مطابقة أو إلحاق البيانات	غير متوفر
حذف كائن ثنائي كبير الحجم	غير متوفر

لا تحدد أي عمليات فرعية فردية كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

الإعداد القيمة‬

مصدر السمة المورد

السمة اسم الحاوية

عامل تشغيل StringEquals

القيمة‬ container1

عامل التشغيل المنطقي 'AND'

مصدر السمة البيئة

السمة الشبكه الفرعيه

عامل تشغيل StringEqualsIgnoreCase

القيمة‬ /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Contributor باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: طلب وصول ارتباط خاص لقراءة الكائنات الثنائية كبيرة الحجم ذات الحساسية العالية

يتطلب هذا الشرط طلبات لقراءة الكائنات الثنائية كبيرة الحجم حيث تحتوي حساسية علامة فهرس الكائن الثنائي كبير الحجم على قيمة high لتكون عبر ارتباط خاص (أي ارتباط خاص). وهذا يعني أن جميع محاولات قراءة الكائنات الثنائية كبيرة الحساسية من الإنترنت العام لن يسمح بها. يمكن للمستخدمين قراءة الكائنات الثنائية كبيرة الحجم من الإنترنت العام التي تم تعيين حساسية لها إلى قيمة أخرى غير high.

فيما يلي جدول الحقيقة لحالة نموذج ABAC هذه:

العمل	الحساسية	ارتباط خاص	الوصول
قراءة كائن ثنائي كبير الحجم	عاليه	نعم	‏‏مسموح
قراءة كائن ثنائي كبير الحجم	عاليه	لا	غير مسموح
قراءة كائن ثنائي كبير الحجم	غير مرتفع	نعم	‏‏مسموح
قراءة كائن ثنائي كبير الحجم	غير مرتفع	لا	‏‏مسموح

الإجراء ملاحظات

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام محرر الشرط المرئي في مدخل Microsoft Azure.

إضافة إجراء

حدد إضافة إجراء، ثم حدد فقط العملية الفرعية قراءة كائن ثنائي كبير الحجم كما هو موضح في الجدول التالي.

الإجراء	عملية فرعية
جميع عمليات القراءة	قراءة كائن ثنائي كبير الحجم

لا تحدد إجراء جميع عمليات القراءة من المستوى الأعلى لأي عمليات فرعية أخرى كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

Group (المجموعة) الإعداد القيمة‬

المجموعة رقم 1

مصدر السمة المورد

السمة علامات فهرس Blob [القيم في المفتاح]

المفتاح sensitivity

عامل تشغيل StringEquals

القيمة‬ high

عامل التشغيل المنطقي 'AND'

مصدر السمة البيئة

السمة ارتباط خاص

عامل تشغيل BoolEquals

القيمة‬ True

نهاية المجموعة رقم 1

عامل التشغيل المنطقي 'OR'

مصدر السمة المورد

السمة علامات فهرس Blob [القيم في المفتاح]

المفتاح sensitivity

عامل تشغيل StringNotEquals

القيمة‬ high

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Reader باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: السماح بالوصول إلى حاوية فقط من نقطة نهاية خاصة معينة

يتطلب هذا الشرط إجراء جميع عمليات القراءة والكتابة والإضافة والحذف للكائنات الثنائية كبيرة الحجم في حاوية تخزين تسمى container1 من خلال نقطة نهاية خاصة تسمى privateendpoint1. بالنسبة لجميع الحاويات الأخرى غير المسماة container1، لا يحتاج الوصول إلى أن يكون من خلال نقطة النهاية الخاصة.

هناك خمسة إجراءات محتملة لقراءة الكائنات الثنائية كبيرة الحجم الموجودة وكتابتها وحذفها. لجعل هذا الشرط فعالا للمديرين الذين لديهم تعيينات أدوار متعددة، يجب إضافة هذا الشرط إلى كافة تعيينات الأدوار التي تتضمن أي من الإجراءات التالية.

الإجراء	ملاحظات
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner. أضف ما إذا كانت حسابات التخزين المضمنة في هذا الشرط لها مساحة اسم هرمية ممكنة أو قد يتم تمكينها في المستقبل.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام محرر الشرط المرئي في مدخل Microsoft Azure.

إضافة إجراء

حدد إضافة إجراء، ثم حدد إجراءات المستوى الأعلى الموضحة في الجدول التالي فقط.

الإجراء	عملية فرعية
جميع عمليات القراءة	غير متوفر
الكتابة إلى كائن ثنائي كبير الحجم	غير متوفر
إنشاء كائن ثنائي كبير الحجم أو نسخة مطابقة أو إلحاق البيانات	غير متوفر
حذف كائن ثنائي كبير الحجم	غير متوفر

لا تحدد أي عمليات فرعية فردية كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

Group (المجموعة) الإعداد القيمة‬

المجموعة رقم 1

مصدر السمة المورد

السمة اسم الحاوية

عامل تشغيل StringEquals

القيمة‬ container1

عامل التشغيل المنطقي 'AND'

مصدر السمة البيئة

السمة نقطة النهاية الخاصة

عامل تشغيل StringEqualsIgnoreCase

القيمة‬ /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

نهاية المجموعة رقم 1

عامل التشغيل المنطقي 'OR'

مصدر السمة المورد

السمة اسم الحاوية

عامل تشغيل StringNotEquals

القيمة‬ container1

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

لإضافة الشرط باستخدام محرر التعليمات البرمجية، اختر أحد نماذج التعليمات البرمجية للشرط التالية، اعتمادا على الدور المقترن بالتعيين. بعد إدخال التعليمات البرمجية الخاصة بك، قم بالتبديل مرة أخرى إلى المحرر المرئي للتحقق من صحته.

مالك بيانات كائن ثنائي كبير الحجم للتخزين:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

مساهم بيانات كائن ثنائي كبير الحجم للتخزين:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Contributor باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

مثال: السماح بالوصول للقراءة إلى بيانات الكائن الثنائي كبير الحجم الحساسة للغاية فقط من نقطة نهاية خاصة معينة ومن قبل المستخدمين الذين تم وضع علامة لهم للوصول

يتطلب هذا الشرط أن الكائنات الثنائية كبيرة الحجم مع مجموعة حساسية علامة الفهرس يمكن high قراءتها فقط من قبل المستخدمين الذين لديهم قيمة مطابقة لسمة أمان الحساسية الخاصة بهم. بالإضافة إلى ذلك، يجب الوصول إليها عبر نقطة نهاية خاصة تسمى privateendpoint1. يمكن الوصول إلى الكائنات الثنائية كبيرة الحجم التي لها قيمة مختلفة لعلامة الحساسية عبر نقاط النهاية الأخرى أو الإنترنت.

الإجراء ملاحظات

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action أضف إذا كان تعريف الدور يتضمن هذا الإجراء، مثل Storage Blob Data Owner.

فيما يلي الإعدادات لإضافة هذا الشرط باستخدام محرر الشرط المرئي في مدخل Microsoft Azure.

إضافة إجراء

حدد إضافة إجراء، ثم حدد فقط العملية الفرعية قراءة كائن ثنائي كبير الحجم كما هو موضح في الجدول التالي.

الإجراء	عملية فرعية
جميع عمليات القراءة	قراءة كائن ثنائي كبير الحجم

لا تحدد إجراء المستوى الأعلى كما هو موضح في الصورة التالية:

بناء التعبير

استخدم القيم الموجودة في الجدول التالي لإنشاء جزء التعبير من الشرط:

Group (المجموعة)	الإعداد	القيمة‬
المجموعة رقم 1
	مصدر السمة	الرئيسيه
	السمة	<مجموعة السمات>_<المفتاح>
	عامل تشغيل	StringEquals
	خيار	السمة
	عامل التشغيل المنطقي	'AND'
	مصدر السمة	المورد
	السمة	علامات فهرس Blob [القيم في المفتاح]
	المفتاح	<مفتاح>
	عامل التشغيل المنطقي	'AND'
	مصدر السمة	البيئة
	السمة	نقطة النهاية الخاصة
	عامل تشغيل	StringEqualsIgnoreCase
	القيمة‬	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
نهاية المجموعة رقم 1
	عامل التشغيل المنطقي	'OR'
	مصدر السمة	المورد
	السمة	علامات فهرس Blob [القيم في المفتاح]
	المفتاح	`sensitivity`
	عامل تشغيل	StringNotEquals
	القيمة‬	`high`

تظهر الصورة التالية الشرط بعد إدخال الإعدادات في مدخل Microsoft Azure. يجب تجميع التعبيرات لضمان التقييم الصحيح.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

لمعرفة المزيد حول كيفية تنسيق الشروط وتقييمها، راجع تنسيق الشروط.

فيما يلي كيفية إضافة هذا الشرط لدور Storage Blob Data Reader باستخدام Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Share via

مثال على شروط تعيين دور Azure ل Blob Storage

المتطلبات الأساسية

ملخص الأمثلة في هذه المقالة

علامات فهرس البيانات كبيرة الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم

مثال: يجب أن تتضمن الكائنات الثنائية كبيرة الحجم الجديدة علامة فهرس كائن ثنائي كبير الحجم

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفاتيح علامات فهرس كائن ثنائي كبير الحجم

مثال: يجب أن تحتوي الكائنات الثنائية كبيرة الحجم الموجودة على مفتاح وقيم فهرس كائن ثنائي كبير الحجم

أسماء أو مسارات حاوية كائن ثنائي كبير الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم أو كتابتها أو حذفها في حاويات مسماة

مثال: قراءة الكائنات الثنائية كبيرة الحجم في حاويات مسماة باستخدام مسار

مثال: قراءة أو سرد الكائنات الثنائية كبيرة الحجم في حاويات مسماة باستخدام مسار

مثال: كتابة الكائنات الثنائية كبيرة الحجم في حاويات مسماة باستخدام مسار

مثال: قراءة الكائنات الثنائية كبيرة الحجم باستخدام علامة فهرس كائن ثنائي كبير الحجم ومسار

بيانات تعريف حاوية كائن ثنائي كبير الحجم

مثال: قراءة الكائنات الثنائية كبيرة الحجم في الحاوية مع بيانات تعريف محددة

مثال: كتابة أو حذف الكائنات الثنائية كبيرة الحجم في حاوية مع بيانات تعريف محددة

إصدارات أو لقطات الكائنات الثنائية كبيرة الحجم

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية فقط

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وإصدار كائن ثنائي كبير الحجم محدد

مثال: حذف إصدارات الكائن الثنائي كبير الحجم القديمة

مثال: قراءة إصدارات الكائن الثنائي كبير الحجم الحالية وأي لقطات كائن ثنائي كبير الحجم

مثال: السماح لعملية كائن ثنائي كبير الحجم للقائمة بتضمين بيانات تعريف الكائن الثنائي كبير الحجم أو اللقطات أو الإصدارات

مثال: تقييد عملية كائن ثنائي كبير الحجم للقائمة بحيث لا تتضمن بيانات تعريف الكائن الثنائي كبير الحجم

مساحة الاسم الهرمية

مثال: قراءة حسابات التخزين فقط مع تمكين مساحة الاسم الهرمية

نطاق التشفير

مثال: قراءة الكائنات الثنائية كبيرة الحجم ذات نطاقات تشفير محددة

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم في حساب التخزين المسمى مع نطاق تشفير محدد

السمات الأساسية

مثال: قراءة أو كتابة الكائنات الثنائية كبيرة الحجم استنادا إلى علامات فهرس الكائن الثنائي كبير الحجم وسمات الأمان المخصصة

مثال: قراءة الكائنات الثنائية كبيرة الحجم استنادًا إلى علامات فهرس الكائن ثنائي كبير الحجم وسمات الأمان المخصصة متعددة القيم

سمات البيئة

مثال: السماح بالوصول للقراءة إلى الكائنات الثنائية كبيرة الحجم بعد تاريخ ووقت محددين

إضافة إجراء

بناء التعبير

مثال: السماح بالوصول إلى الكائنات الثنائية كبيرة الحجم في حاويات معينة من شبكة فرعية معينة

إضافة إجراء

بناء التعبير

مثال: طلب وصول ارتباط خاص لقراءة الكائنات الثنائية كبيرة الحجم ذات الحساسية العالية

إضافة إجراء

بناء التعبير

مثال: السماح بالوصول إلى حاوية فقط من نقطة نهاية خاصة معينة

إضافة إجراء

بناء التعبير

مثال: السماح بالوصول للقراءة إلى بيانات الكائن الثنائي كبير الحجم الحساسة للغاية فقط من نقطة نهاية خاصة معينة ومن قبل المستخدمين الذين تم وضع علامة لهم للوصول

إضافة إجراء

بناء التعبير

الخطوات التالية

الموارد الإضافية