Acciones y atributos para las condiciones de asignación de roles de Azure para Azure Queue Storage
En este artículo se describen los diccionarios de atributos admitidos que se pueden usar en las condiciones para las asignaciones de roles de Azure para cada elemento DataAction de Azure Storage. Para obtener la lista de operaciones del Queue service que se ven afectadas por un permiso específico o DataAction, consulte Permisos para operaciones de Queue service.
Para comprender el formato de una condición de asignación de roles, consulte Formato y sintaxis de las condiciones de asignación de roles de Azure (versión preliminar).
Importante
Actualmente, el control de acceso basado en atributos de Azure (Azure ABAC) está disponible con carácter general para controlar el acceso solo a Azure Blob Storage, Azure Data Lake Storage Gen2 y Azure Queues mediante los atributos request, resource, environment y principal en el nivel de rendimiento de las cuentas de almacenamiento premium y estándar. Actualmente, el atributo de recurso de metadatos del contenedor y el atributo de solicitud de inclusión de blobs de lista se encuentran en VERSIÓN PRELIMINAR. Para información completa sobre el estado de las características de ABAC para Azure Storage, consulte Estado de las características de condición en Azure Storage.
Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Acciones de Azure Queue Storage
En esta sección, se enumeran las acciones admitidas de Azure Queue Storage que pueden tener como destino las condiciones.
Las cuentas de Storage admiten las siguientes acciones:
| Nombre para mostrar | DataAction |
|---|---|
| Ver el código de mensajes sin salir | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Colocar un mensaje | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| Colocar o actualizar un mensaje | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Borrado de mensajes | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Obtener o eliminar mensajes | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
Ver el código de mensajes sin salir
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Ver el código de mensajes sin salir |
| Descripción | DataAction para ver el código sin salir de los mensajes. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Atributos del recurso | Nombre de cuenta Nombre de la cola |
| Atributos de solicitud | |
| Soporte técnico de atributos de entidad de seguridad | Verdadero |
Colocar un mensaje
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Colocar un mensaje |
| Descripción | DataAction para colocar un mensaje. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| Atributos del recurso | Nombre de cuenta Nombre de la cola |
| Atributos de solicitud | |
| Soporte técnico de atributos de entidad de seguridad | Verdadero |
Colocar o actualizar un mensaje
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Colocar o actualizar un mensaje |
| Descripción | DataAction para colocar o actualizar un mensaje. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Atributos del recurso | Nombre de cuenta Nombre de la cola |
| Atributos de solicitud | |
| Soporte técnico de atributos de entidad de seguridad | Verdadero |
Borrado de mensajes
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Borrado de mensajes |
| Descripción | DataAction para borrar mensajes. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Atributos del recurso | Nombre de cuenta Nombre de la cola |
| Atributos de solicitud | |
| Soporte técnico de atributos de entidad de seguridad | Verdadero |
Obtener o eliminar mensajes
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Obtener o eliminar mensajes |
| Descripción | DataAction para obtener o eliminar mensajes. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
| Atributos del recurso | Nombre de cuenta Nombre de la cola |
| Atributos de solicitud | |
| Soporte técnico de atributos de entidad de seguridad | Verdadero |
Atributos de Azure Queue Storage
En esta sección se enumeran los atributos de Azure Queue Storage que puede usar en las expresiones de condición en función de la acción de destino. Si selecciona varias acciones para una sola condición, puede que haya menos atributos por elegir para la condición, ya que los atributos deben estar disponibles en todas las acciones seleccionadas.
Nota:
Se considera que los atributos y valores enumerados no tienen en cuenta las mayúsculas y minúsculas, a menos que se indique lo contrario.
En la tabla siguiente, se resumen los atributos disponibles por origen:
| Origen de atributo | Nombre para mostrar | Descripción |
|---|---|---|
| Entorno | ||
| Es un vínculo privado | Indica si el acceso se realiza a través de un vínculo privado | |
| Punto de conexión privado | Punto de conexión privado por el que se accede a un objeto | |
| Subred | Subred por la que se tiene acceso a un objeto | |
| UTC ahora | La fecha y hora actuales en hora universal coordinada | |
| Recurso | ||
| Nombre de cuenta | El nombre de la cuenta de almacenamiento | |
| Nombre de la cola | El nombre de la cola de almacenamiento |
Nombre de cuenta
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Nombre de cuenta |
| Descripción | Nombre de una cuenta de almacenamiento. |
| Atributo | Microsoft.Storage/storageAccounts:name |
| Origen del atributo | Resource |
| Tipo de atributo | String |
| Ejemplos | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount' |
Es un vínculo privado
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Es un vínculo privado |
| Descripción | Indica si el acceso se realiza a través de un vínculo privado. Use para requerir acceso a través de cualquier punto de conexión privado. |
| Atributo | isPrivateLink |
| Origen del atributo | Entorno |
| Tipo de atributo | Boolean |
| Ejemplos | @Environment[isPrivateLink] BoolEquals trueEjemplo: requerir acceso de vínculo privado para leer blobs con alta confidencialidad |
| Más información | Uso de puntos de conexión privados para Azure Storage |
Punto de conexión privado
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Punto de conexión privado |
| Descripción | Punto de conexión privado por el que se accede a un objeto. Use para restringir el acceso a través de un punto de conexión privado específico. Solo está disponible para las cuentas de almacenamiento de las suscripciones que tengan al menos un punto de conexión privado configurado. |
| Atributo | Microsoft.Network/privateEndpoints |
| Origen del atributo | Entorno |
| Tipo de atributo | String |
| Ejemplos | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'Ejemplo: permitir el acceso de lectura a un contenedor solo desde un punto de conexión privado específico |
| Más información | Uso de puntos de conexión privados para Azure Storage |
Nombre de la cola
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Nombre de la cola |
| Descripción | Nombre de una cola de almacenamiento. |
| Atributo | Microsoft.Storage/storageAccounts/queueServices/queues:name |
| Origen del atributo | Resource |
| Tipo de atributo | String |
Subnet
| Propiedad | Value |
|---|---|
| Nombre para mostrar | Subnet |
| Descripción | Subred por la que se accede a un objeto. Use para restringir el acceso a una subred específica. Solo está disponible para las cuentas de almacenamiento de las suscripciones que tengan al menos una subred de red virtual configurada. |
| Atributo | Microsoft.Network/virtualNetworks/subnets |
| Origen del atributo | Entorno |
| Tipo de atributo | String |
| Ejemplos | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'Ejemplo: permitir el acceso a blobs en contenedores específicos desde una subred específica |
| Más información | Subredes |
UTC ahora
| Propiedad | Value |
|---|---|
| Nombre para mostrar | UTC ahora |
| Descripción | La fecha y hora actuales en hora universal coordinada. Use para controlar el acceso a objetos durante un período de fecha y hora específico. |
| Atributo | UtcNow |
| Origen del atributo | Entorno |
| Tipo de atributo | DateTime (Solo se admiten los operadores DateTimeGreaterThan y DateTimeLessThan para el atributo UTC ahora). |
| Ejemplos | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'Ejemplo: permitir el acceso de lectura a blobs después de una fecha y hora específicas |