Příklady podmínek přiřazení role Azure pro Blob Storage

  • Článek

Tento článek uvádí několik příkladů podmínek přiřazení rolí pro řízení přístupu ke službě Azure Blob Storage.

Důležité

Řízení přístupu na základě atributů Azure (Azure ABAC) je obecně dostupné (GA) pro řízení přístupu ke službě Azure Blob Storage, Azure Data Lake Storage Gen2 a Frontám Azure pomocí requestresourceenvironment, a atributů v úrovních výkonu účtu služby Azure Storage úrovně Standard i principal Premium Storage. Atribut prostředku metadat kontejneru a objekt blob seznamu obsahují atribut požadavku v náhledu. Úplné informace o stavu funkcí ABAC pro Azure Storage najdete v tématu Stav funkcí podmínky ve službě Azure Storage.

Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Požadavky

Informace o požadavcích pro přidání nebo úpravu podmínek přiřazení role naleznete v tématu Požadavky na podmínky.

Shrnutí příkladů v tomto článku

Pomocí následující tabulky rychle vyhledejte příklad, který odpovídá vašemu scénáři ABAC. Tabulka obsahuje stručný popis scénáře a seznam atributů použitých v příkladu podle zdroje (prostředí, objekt zabezpečení, požadavek a prostředek).

Příklad Prostředí Objekt zabezpečení Žádost Prostředek
Čtení objektů blob se značkou indexu objektů blob značky
Nové objekty blob musí obsahovat značku indexu objektů blob. značky
Existující objekty blob musí mít klíče značek indexu objektů blob. značky
Existující objekty blob musí mít klíč a hodnoty značky objektu blob. značky
Čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech název kontejneru
Čtení objektů blob v pojmenovaných kontejnerech s cestou cesta k objektu blob názvu
kontejneru
Čtení nebo výpis objektů blob v pojmenovaných kontejnerech s cestou Předpona objektu blob cesta k objektu blob názvu
kontejneru
Zápis objektů blob do pojmenovaných kontejnerů s cestou cesta k objektu blob názvu
kontejneru
Čtení objektů blob se značkou indexu objektů blob a cestou Cesta k objektu blob značek
Čtení objektů blob v kontejneru s konkrétními metadaty metadata kontejneru
Zápis nebo odstranění objektů blob v kontejneru s konkrétními metadaty metadata kontejneru
Čtení pouze aktuálních verzí objektů blob isCurrentVersion
Čtení aktuálních verzí objektů blob a konkrétní verze objektu blob versionId isCurrentVersion
Odstranění starých verzí objektů blob versionId
Čtení aktuálních verzí objektů blob a všech snímků objektů blob Snímek isCurrentVersion
Povolit operaci objektu blob seznamu, aby zahrnovala metadata objektů blob, snímky nebo verze Zahrnutí objektu blob seznamu
Omezení operace objektu blob seznamu tak, aby neobsála metadata objektů blob Zahrnutí objektu blob seznamu
Účty úložiště jen pro čtení s povoleným hierarchickým oborem názvů isHnsEnabled
Čtení objektů blob s konkrétními obory šifrování Název oboru šifrování
Čtení nebo zápis objektů blob v pojmenovaném účtu úložiště s konkrétním oborem šifrování Název
oboru šifrování účtu úložiště
Čtení nebo zápis objektů blob na základě značek indexu objektů blob a vlastních atributů zabezpečení ID značky značky
Čtení objektů blob na základě značek indexu objektů blob a vlastních atributů zabezpečení s více hodnotami ID značky
Povolit přístup pro čtení k objektům blob po určitém datu a čase UtcNow název kontejneru
Povolení přístupu k objektům blob v konkrétních kontejnerech z konkrétní podsítě Podsíť název kontejneru
Vyžadovat přístup privátního propojení ke čtení objektů blob s vysokou citlivostí isPrivateLink značky
Povolit přístup ke kontejneru pouze z konkrétního privátního koncového bodu Privátní koncový bod název kontejneru
Příklad: Povolení přístupu pro čtení k vysoce citlivým datům objektů blob pouze z konkrétního privátního koncového bodu a podle uživatelů označených pro přístup Privátní koncový bod ID značky

Značky indexu objektů blob

Tato část obsahuje příklady zahrnující značky indexu objektů blob.

Důležité

Read content from a blob with tag conditions I když je podoperace aktuálně podporovaná kvůli kompatibilitě s podmínkami implementovanými během verze Preview funkce ABAC, je zastaralá a Společnost Microsoft místo toho doporučuje tuto akci použítRead a blob.

Při konfiguraci podmínek ABAC na webu Azure Portal se může zobrazit zastaralé: Čtení obsahu z objektu blob s podmínkami značek. Microsoft doporučuje operaci odebrat a nahradit ji Read a blob akcí.

Pokud vytváříte vlastní podmínku, ve které chcete omezit přístup pro čtení podle podmínek značek, přečtěte si příklad : Čtení objektů blob se značkou indexu objektů blob.

Příklad: Čtení objektů blob se značkou indexu objektů blob

Tato podmínka umožňuje uživatelům číst objekty blob s klíčem značky indexu objektů blob v Projectu a hodnotou Kaskády. Pokusy o přístup k objektům blob bez této značky klíč-hodnota nejsou povolené.

Aby tato podmínka byla platná pro objekt zabezpečení, musíte ji přidat do všech přiřazení rolí, které zahrnují následující akce:

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení k objektům blob se značkou indexu objektů blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálů webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor StringEquals
Hodnota {keyValue}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení k objektům blob se značkou indexu objektů blob

Příklad: Nové objekty blob musí obsahovat značku indexu objektů blob.

Tato podmínka vyžaduje, aby všechny nové objekty blob obsahovaly klíč značky indexu objektů blob v Projectu a hodnotu Kaskády.

Existují dvě akce, které umožňují vytvářet nové objekty blob, takže musíte cílit na obojí. Tuto podmínku musíte přidat do všech přiřazení rolí, která obsahují jednu z následujících akcí:

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující nové objekty blob musí obsahovat značku indexu objektů blob.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis do objektu blob pomocí značek indexu objektů blob
Zdroj atributů Žádost
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor StringEquals
Hodnota {keyValue}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující nové objekty blob musí obsahovat značku indexu objektů blob.

Příklad: Existující objekty blob musí mít klíče značek indexu objektů blob.

Tato podmínka vyžaduje, aby všechny existující objekty blob byly označené alespoň jedním z povolených klíčů značek indexu objektů blob: Project nebo Program. Tato podmínka je užitečná pro přidání zásad správného řízení do existujících objektů blob.

Existují dvě akce, které umožňují aktualizovat značky u existujících objektů blob, takže je nutné cílit na obojí. Tuto podmínku musíte přidat do všech přiřazení rolí, která obsahují jednu z následujících akcí:

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující existující objekty blob musí obsahovat klíče značek indexu objektů blob.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis značek indexu objektů blob
Zdroj atributů Žádost
Atribut Značky indexu objektů blob [Klíče]
Operátor ForAllOfAnyValues:StringEquals
Hodnota {keyName1}
{keyName2}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující existující objekty blob musí mít klíče značek indexu objektů blob.

Příklad: Existující objekty blob musí mít klíč a hodnoty značky indexu objektů blob.

Tato podmínka vyžaduje, aby všechny existující objekty blob měly klíč značky indexu objektů blob projectu a hodnot Kaskády, Bakera nebo Skagitu. Tato podmínka je užitečná pro přidání zásad správného řízení do existujících objektů blob.

Existují dvě akce, které umožňují aktualizovat značky u existujících objektů blob, takže je nutné cílit na obojí. Tuto podmínku musíte přidat do všech přiřazení rolí, které obsahují jednu z následujících akcí.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky znázorňující existující objekty blob musí mít klíč a hodnoty značky indexu objektů blob.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis značek indexu objektů blob
Zdroj atributů Žádost
Atribut Značky indexu objektů blob [Klíče]
Operátor ForAnyOfAnyValues:StringEquals
Hodnota {keyName}
Operátor And
Expression 2
Zdroj atributů Žádost
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor ForAllOfAnyValues:StringEquals
Hodnota {keyValue1}
{keyValue2}
{keyValue3}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující existující objekty blob musí mít klíč a hodnoty značky objektu blob.

Názvy nebo cesty kontejneru objektů blob

Tato část obsahuje příklady, které ukazují, jak omezit přístup k objektům na základě názvu kontejneru nebo cesty k objektu blob.

Příklad: Čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech

Tato podmínka umožňuje uživatelům číst, zapisovat nebo odstraňovat objekty blob v kontejnerech úložiště s názvem blobs-example-container. Tato podmínka je užitečná pro sdílení konkrétních kontejnerů úložiště s ostatními uživateli v předplatném.

Pro čtení, zápis a odstranění existujících objektů blob existuje pět akcí. Tuto podmínku musíte přidat do všech přiřazení rolí, které obsahují jednu z následujících akcí.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Podoperace se v této podmínce nepoužívají, protože podoperace je nutná pouze v případě, že jsou podmínky vytvořené na základě značek.

Diagram podmínky znázorňující čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Odstranění objektu blob
Čtení objektu blob
Zápis do objektu blob
Vytvoření objektu blob nebo snímku nebo připojení dat
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota {containerName}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech

Příklad: Čtení objektů blob v pojmenovaných kontejnerech s cestou

Tato podmínka umožňuje přístup pro čtení ke kontejnerům úložiště s názvem blob-example-container s cestou objektu blob jen pro čtení/*. Tato podmínka je užitečná pro sdílení konkrétních částí kontejnerů úložiště pro přístup pro čtení s ostatními uživateli v předplatném.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Diagram podmínky znázorňující přístup pro čtení k objektům blob v pojmenovaných kontejnerech s cestou

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Expression 2
Operátor And
Zdroj atributů Prostředek
Atribut Cesta k objektu blob
Operátor StringLike
Hodnota {pathString}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení k objektům blob v pojmenovaných kontejnerech s cestou

Příklad: Čtení nebo výpis objektů blob v pojmenovaných kontejnerech s cestou

Tato podmínka umožňuje přístup pro čtení a také přístup k kontejnerům úložiště s názvem blob-example-container s cestou k objektu blob jen pro čtení/*. Podmínka č. 1 se vztahuje na akce čtení s výjimkou objektů blob seznamu. Podmínka č. 2 se vztahuje na objekty blob seznamu. Tato podmínka je užitečná pro sdílení konkrétních částí kontejnerů úložiště pro přístup ke čtení nebo výpisu s ostatními uživateli v předplatném.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Diagram podmínky zobrazující přístup ke čtení a výpisu objektů blob v pojmenovaných kontejnerech s cestou

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Poznámka:

Azure Portal používá k výpisu objektů blob z kořenového adresáře kontejneru předponu ='. Po přidání podmínky s operací objektu blob seznamu pomocí předpony StringStartsWith jen pro čtení/nebudou moct cíloví uživatelé vypsat objekty blob z kořenového adresáře kontejneru na webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Expression 2
Operátor And
Zdroj atributů Prostředek
Atribut Cesta k objektu blob
Operátor StringStartsWith
Hodnota {pathString}
Podmínka č. 2 Nastavení
Akce Výpis objektů blob
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Expression 2
Operátor And
Zdroj atributů Žádost
Atribut Předpona objektu blob
Operátor StringStartsWith
Hodnota {pathString}

Příklad: Zápis objektů blob do pojmenovaných kontejnerů s cestou

Tato podmínka umožňuje partnerovi (uživateli typu host Microsoft Entra) vkládat soubory do kontejnerů úložiště s názvem Contosocorp s cestou uploads/contoso/*. Tato podmínka je užitečná, když ostatním uživatelům umožní umístit data do kontejnerů úložiště.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Diagram podmínky znázorňující přístup k zápisu k objektům blob v pojmenovaných kontejnerech s cestou

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob
Vytvoření objektu blob nebo snímku nebo připojení dat
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Expression 2
Operátor And
Zdroj atributů Prostředek
Atribut Cesta k objektu blob
Operátor StringLike
Hodnota {pathString}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup k zápisu k objektům blob v pojmenovaných kontejnerech s cestou

Příklad: Čtení objektů blob se značkou indexu objektů blob a cestou

Tato podmínka umožňuje uživateli číst objekty blob pomocí klíče značky indexu objektů blob programu, hodnoty Alpine a cesty k objektům blob protokolů*. Cesta k objektům blob protokolů* také obsahuje název objektu blob.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení k objektům blob se značkou indexu objektů blob a cestou

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor StringEquals
Hodnota {keyValue}

Snímek obrazovky s editorem podmínky 1 na webu Azure Portal zobrazující přístup pro čtení k objektům blob se značkou indexu objektů blob a cestou

Podmínka č. 2 Nastavení
Akce Čtení objektu blob
Zdroj atributů Prostředek
Atribut Cesta k objektu blob
Operátor StringLike
Hodnota {pathString}

Snímek obrazovky editoru podmínky 2 na webu Azure Portal zobrazující přístup pro čtení k objektům blob se značkou indexu objektů blob a cestou

Metadata kontejneru objektů blob

Příklad: Čtení objektů blob v kontejneru s konkrétními metadaty

Tato podmínka umožňuje uživatelům číst objekty blob v kontejnerech objektů blob s konkrétní dvojicí klíč/hodnota metadat.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů Prostředek
Atribut Metadata kontejneru
Operátor StringEquals
Hodnota {containerName}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující objekt blob pro čtení v kontejneru s konkrétními metadaty

Příklad: Zápis nebo odstranění objektů blob v kontejneru s konkrétními metadaty

Tato podmínka umožňuje uživatelům zapisovat nebo odstraňovat objekty blob v kontejnerech objektů blob s konkrétní dvojicí klíč/hodnota metadat.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob
Odstranění objektu blob
Zdroj atributů Prostředek
Atribut Metadata kontejneru
Operátor StringEquals
Hodnota {containerName}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující objekt blob pro zápis a odstranění v kontejneru s konkrétními metadaty

Verze objektů blob nebo snímky objektů blob

Tato část obsahuje příklady, které ukazují, jak omezit přístup k objektům na základě verze nebo snímku objektu blob.

Příklad: Čtení pouze aktuálních verzí objektů blob

Tato podmínka umožňuje uživateli číst pouze aktuální verze objektů blob. Uživatel nemůže číst jiné verze objektů blob.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení pouze k aktuální verzi objektu blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Prostředek
Atribut Je aktuální verze
Operátor BoolEquals
Hodnota True

Příklad: Čtení aktuálních verzí objektů blob a konkrétní verze objektu blob

Tato podmínka umožňuje uživateli číst aktuální verze objektů blob a také číst objekty blob s ID verze 2022-06-01T23:38:32.883645Z. Uživatel nemůže číst jiné verze objektů blob. Atribut ID verze je k dispozici pouze pro účty úložiště, kde není povolený hierarchický obor názvů.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Diagram podmínky znázorňující přístup pro čtení ke konkrétní verzi objektu blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů Žádost
Atribut ID verze
Operátor DateTimeEquals
Hodnota <blobVersionId>
Expression 2
Operátor Nebo
Zdroj atributů Prostředek
Atribut Je aktuální verze
Operátor BoolEquals
Hodnota True

Příklad: Odstranění starých verzí objektů blob

Tato podmínka umožňuje uživateli odstranit verze objektu blob, které jsou starší než 1. 6. 2022, aby provedl vyčištění. Atribut ID verze je k dispozici pouze pro účty úložiště, kde není povolený hierarchický obor názvů.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Diagram podmínky znázorňující přístup k odstranění starých verzí objektů blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Odstranění objektu blob
Odstranění verze objektu blob
Zdroj atributů Žádost
Atribut ID verze
Operátor DateTimeLessThan
Hodnota <blobVersionId>

Příklad: Čtení aktuálních verzí objektů blob a všech snímků objektů blob

Tato podmínka umožňuje uživateli číst aktuální verze objektů blob a všechny snímky objektů blob. Atribut ID verze je k dispozici pouze pro účty úložiště, kde není povolený hierarchický obor názvů. Atribut Snapshot je k dispozici pro účty úložiště, u kterých není povolený hierarchický obor názvů, a v současné době je ve verzi Preview pro účty úložiště, ve kterých je povolený hierarchický obor názvů.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení k aktuálním verzím objektů blob a snímkům objektů blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Žádost
Atribut Snímková
Exists Kontrolovány
Expression 2
Operátor Nebo
Zdroj atributů Prostředek
Atribut Je aktuální verze
Operátor BoolEquals
Hodnota True

Příklad: Povolení operace objektu blob seznamu, aby zahrnovala metadata objektů blob, snímky nebo verze.

Tato podmínka uživateli umožňuje vypsat objekty blob v kontejneru a zahrnout metadata, snímek a informace o verzi. Objekty blob seznamu zahrnují atribut je k dispozici pro účty úložiště, kde není povolený hierarchický obor názvů.

Poznámka:

Mezi objekty blob seznamu patří atribut požadavku a funguje tak, že při volání operace Objekty blob seznamu povolí nebo omezí hodnoty v include parametru. Hodnoty v parametru include se porovnávají s hodnotami zadanými v podmínce pomocí operátorů porovnání mezi produkty. Pokud se porovnání vyhodnotí jako true, List Blobs požadavek je povolený. Pokud se porovnání vyhodnotí jako nepravda, List Blobs požadavek se odepře.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Výpis objektů blob
Zdroj atributů Žádost
Atribut Mezi objekty blob seznamu patří
Operátor ForAllOfAnyValues:StringEqualsIgnoreCase
Hodnota {'metadata', 'snapshots', 'versions'}

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující podmínku, která uživateli umožní vypsat objekty blob v kontejneru a zahrnout metadata, snímek a informace o verzi

Příklad: Omezení operace objektu blob seznamu tak, aby neobsála metadata objektů blob

Tato podmínka omezuje uživatele v výpisu objektů blob, pokud jsou metadata zahrnuta v požadavku. Objekty blob seznamu zahrnují atribut je k dispozici pro účty úložiště, kde není povolený hierarchický obor názvů.

Poznámka:

Mezi objekty blob seznamu patří atribut požadavku a funguje tak, že při volání operace Objekty blob seznamu povolí nebo omezí hodnoty v include parametru. Hodnoty v parametru include se porovnávají s hodnotami zadanými v podmínce pomocí operátorů porovnání mezi produkty. Pokud se porovnání vyhodnotí jako true, List Blobs požadavek je povolený. Pokud se porovnání vyhodnotí jako nepravda, List Blobs požadavek se odepře.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Výpis objektů blob
Zdroj atributů Žádost
Atribut Mezi objekty blob seznamu patří
Operátor ForAllOfAllValues:StringNotEquals
Hodnota {'metadata'}

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující podmínku, která uživateli brání v výpisu objektů blob, když jsou metadata zahrnutá v požadavku

Hierarchický obor názvů

Tato část obsahuje příklady ukazující, jak omezit přístup k objektům na základě toho, jestli je pro účet úložiště povolený hierarchický obor názvů.

Příklad: Účty úložiště jen pro čtení s povoleným hierarchickým oborem názvů

Tato podmínka umožňuje uživateli číst pouze objekty blob v účtech úložiště s povoleným hierarchickým oborem názvů . Tato podmínka platí pouze v oboru skupiny prostředků nebo vyšší.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky znázorňující přístup pro čtení k účtům úložiště s povoleným hierarchickým oborem názvů

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým oborem názvů (pokud je k dispozici)
Zdroj atributů Prostředek
Atribut Je povolený hierarchický obor názvů.
Operátor BoolEquals
Hodnota True

Rozsah šifrování

Tato část obsahuje příklady ukazující, jak omezit přístup k objektům se schváleným oborem šifrování.

Příklad: Čtení objektů blob s konkrétními obory šifrování

Tato podmínka umožňuje uživateli číst objekty blob zašifrované pomocí oboru validScope1 šifrování nebo validScope2.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení k objektům blob s oborem šifrování validScope1 nebo validScope2

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů Prostředek
Atribut Název oboru šifrování
Operátor ForAnyOfAnyValues:StringEquals
Hodnota <scopeName>

Příklad: Čtení nebo zápis objektů blob v pojmenovaném účtu úložiště s konkrétním oborem šifrování

Tato podmínka umožňuje uživateli číst nebo zapisovat objekty blob v účtu úložiště s názvem sampleaccount a šifrovaným pomocí oboru ScopeCustomKey1šifrování . Pokud objekty blob nejsou šifrované nebo dešifrované pomocí ScopeCustomKey1, požadavek vrátí zakázáno.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Poznámka:

Vzhledem k tomu, že obory šifrování pro různé účty úložiště se můžou lišit, doporučujeme použít storageAccounts:name atribut s atributem encryptionScopes:name k omezení konkrétního rozsahu šifrování, který se má povolit.

Diagram podmínky zobrazující přístup pro čtení nebo zápis k objektům blob v účtu úložiště sampleaccount s oborem šifrování ScopeCustomKey1

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zápis do objektu blob
Vytvoření objektu blob nebo snímku nebo připojení dat
Zdroj atributů Prostředek
Atribut Název účtu
Operátor StringEquals
Hodnota <accountName>
Expression 2
Operátor And
Zdroj atributů Prostředek
Atribut Název oboru šifrování
Operátor ForAnyOfAnyValues:StringEquals
Hodnota <scopeName>

Hlavní atributy

Tato část obsahuje příklady, které ukazují, jak omezit přístup k objektům na základě vlastních objektů zabezpečení.

Příklad: Čtení nebo zápis objektů blob na základě značek indexu objektů blob a vlastních atributů zabezpečení

Tato podmínka umožňuje přístup pro čtení nebo zápis k objektům blob, pokud má uživatel vlastní atribut zabezpečení, který odpovídá značce indexu objektů blob.

Pokud má například Brenda atribut Project=Baker, může jen číst nebo zapisovat objekty blob se značkou indexu Project=Baker objektů blob. Podobně může Chandra číst nebo zapisovat pouze objekty blob s Project=Cascade.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Další informace najdete v tématu Povolení přístupu pro čtení k objektům blob na základě značek a vlastních atributů zabezpečení.

Diagram podmínky zobrazující přístup pro čtení nebo zápis k objektům blob na základě značek indexu objektů blob a vlastních atributů zabezpečení

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení podmínek objektu blob
Zdroj atributů Hlavní
Atribut <attributeset>_<key>
Operátor StringEquals
Možnost Atribut
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč <key>
Podmínka č. 2 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis do objektu blob pomocí značek indexu objektů blob
Zdroj atributů Hlavní
Atribut <attributeset>_<key>
Operátor StringEquals
Možnost Atribut
Zdroj atributů Žádost
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč <key>

Příklad: Čtení objektů blob na základě značek indexu objektů blob a vlastních atributů zabezpečení s více hodnotami

Tato podmínka umožňuje přístup pro čtení k objektům blob, pokud má uživatel vlastní atribut zabezpečení se všemi hodnotami, které odpovídají značce indexu objektu blob.

Pokud má například Chandra atribut Project s hodnotami Baker a Cascade, může číst pouze objekty blob se značkou indexu Project=Baker objektu blob.Project=Cascade

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Další informace najdete v tématu Povolení přístupu pro čtení k objektům blob na základě značek a vlastních atributů zabezpečení.

Diagram podmínky zobrazující přístup pro čtení k objektům blob na základě značek indexu objektů blob a vlastních atributů zabezpečení s více hodnotami

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení podmínek objektu blob
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč <key>
Operátor ForAnyOfAnyValues:StringEquals
Možnost Atribut
Zdroj atributů Hlavní
Atribut <attributeset>_<key>

Atributy prostředí

Tato část obsahuje příklady ukazující, jak omezit přístup k objektům na základě síťového prostředí nebo aktuálního data a času.

Příklad: Povolení přístupu pro čtení k objektům blob po určitém datu a čase

Tato podmínka umožňuje přístup pro čtení ke kontejneru container1 objektů blob až po 1. květnu 2023 (UTC).

Existují dvě možné akce pro čtení existujících objektů blob. Chcete-li tuto podmínku nastavit jako efektivní pro objekty zabezpečení, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují některou z následujících akcí.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze podoperaci Čtení objektu blob , jak je znázorněno v následující tabulce.

Akce Podoperace
Všechny operace čtení Čtení objektu blob

Nevybírejte akci Všechny operace čtení na nejvyšší úrovni ani žádné jiné dílčí operace, jak je znázorněno na následujícím obrázku:

Snímek obrazovky s editorem podmínek na webu Azure Portal zobrazující výběr jenom operace čtení

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Nastavení Hodnota
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota container1
Logický operátor "AND"
Zdroj atributů Prostředí
Atribut UtcNow
Operátor DateTimeGreaterThan
Hodnota 2023-05-01T13:00:00.000Z

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal s povoleným přístupem pro čtení po určitém datu a čase

Příklad: Povolení přístupu k objektům blob v konkrétních kontejnerech z konkrétní podsítě

Tato podmínka umožňuje čtení, zápis, přidání a odstranění přístupu k objektům blob pouze z podsítě container1default ve virtuální síti virtualnetwork1. Pokud chcete použít atribut Subnet v tomto příkladu, musí mít podsíť povolené koncové body služby pro Azure Storage.

Existuje pět možných akcí pro čtení, zápis, přidání a odstranění přístupu k existujícím objektům blob. Chcete-li tuto podmínku nastavit jako efektivní pro objekty zabezpečení, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují některou z následujících akcí.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze akce nejvyšší úrovně zobrazené v následující tabulce.

Akce Podoperace
Všechny operace čtení N/a
Zápis do objektu blob N/a
Vytvoření objektu blob nebo snímku nebo připojení dat N/a
Odstranění objektu blob N/a

Nevybírejte žádné jednotlivé dílčíoperace, jak je znázorněno na následujícím obrázku:

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující výběr operací čtení, zápisu, přidání a odstranění

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Nastavení Hodnota
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota container1
Logický operátor "AND"
Zdroj atributů Prostředí
Atribut Podsíť
Operátor StringEqualsIgnoreCase
Hodnota /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení ke konkrétním kontejnerům povoleným z konkrétní podsítě

Tato podmínka vyžaduje, aby požadavky na čtení objektů blob, ve kterých má citlivost značky indexu objektů blob hodnotu high přes privátní propojení (jakékoli privátní propojení). To znamená, že všechny pokusy o čtení vysoce citlivých objektů blob z veřejného internetu nebudou povoleny. Uživatelé mohou číst objekty blob z veřejného internetu, které mají nastavenou citlivost na jinou hodnotu než high.

Tabulka pravdivých informací pro tuto ukázkovou podmínku ABAC:

Akce Citlivost Private Link Přístup
Čtení objektu blob Vysoké Ano Povoleno
Čtení objektu blob Vysoké No Není povoleno
Čtení objektu blob NENÍ vysoká Ano Povoleno
Čtení objektu blob NENÍ vysoká No Povoleno

Existují dvě možné akce pro čtení existujících objektů blob. Chcete-li tuto podmínku nastavit jako efektivní pro objekty zabezpečení, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují některou z následujících akcí.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálních podmínek na webu Azure Portal.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze podoperaci Čtení objektu blob , jak je znázorněno v následující tabulce.

Akce Podoperace
Všechny operace čtení Čtení objektu blob

Nevybírejte akci Všechny operace čtení na nejvyšší úrovni žádné jiné dílčí operace, jak je znázorněno na následujícím obrázku:

Snímek obrazovky s editorem podmínek na webu Azure Portal zobrazující výběr jenom operace čtení

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Group Nastavení Hodnota
Skupina č. 1
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč sensitivity
Operátor StringEquals
Hodnota high
Logický operátor "AND"
Zdroj atributů Prostředí
Atribut Je privátní propojení
Operátor BoolEquals
Hodnota True
Konec skupiny č. 1
Logický operátor "OR"
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč sensitivity
Operátor StringNotEquals
Hodnota high

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení vyžadující jakýkoli privátní odkaz pro citlivá data

Příklad: Povolení přístupu ke kontejneru pouze z konkrétního privátního koncového bodu

Tato podmínka vyžaduje, aby všechny operace čtení, zápisu, přidání a odstranění objektů blob v kontejneru úložiště s názvem container1 privátní koncový bod privateendpoint1. Pro všechny ostatní kontejnery, které nejsou pojmenované container1, nemusí být přístup přes privátní koncový bod.

Existuje pět možných akcí pro čtení, zápis a odstranění existujících objektů blob. Chcete-li tuto podmínku nastavit jako efektivní pro objekty zabezpečení, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují některou z následujících akcí.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálních podmínek na webu Azure Portal.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze akce nejvyšší úrovně zobrazené v následující tabulce.

Akce Podoperace
Všechny operace čtení N/a
Zápis do objektu blob N/a
Vytvoření objektu blob nebo snímku nebo připojení dat N/a
Odstranění objektu blob N/a

Nevybírejte žádné jednotlivé dílčíoperace, jak je znázorněno na následujícím obrázku:

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující výběr operací čtení, zápisu, přidání a odstranění

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Group Nastavení Hodnota
Skupina č. 1
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringEquals
Hodnota container1
Logický operátor "AND"
Zdroj atributů Prostředí
Atribut Privátní koncový bod
Operátor StringEqualsIgnoreCase
Hodnota /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Konec skupiny č. 1
Logický operátor "OR"
Zdroj atributů Prostředek
Atribut Název kontejneru
Operátor StringNotEquals
Hodnota container1

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující objekty blob pro čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech s atributem prostředí privátního koncového bodu

Příklad: Povolení přístupu pro čtení k vysoce citlivým datům objektů blob pouze z konkrétního privátního koncového bodu a podle uživatelů označených pro přístup

Tato podmínka vyžaduje, aby objekty blob s nastavenou citlivostí indexu mohly být jen pro čtení uživateli, kteří mají odpovídající hodnotu pro atribut zabezpečení citlivosti.high Kromě toho musí být přístupné přes privátní koncový bod s názvem privateendpoint1. Objekty blob, které mají jinou hodnotu značky citlivosti , mají přístup přes jiné koncové body nebo internet.

Existují dvě možné akce pro čtení existujících objektů blob. Chcete-li tuto podmínku nastavit jako efektivní pro objekty zabezpečení, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují některou z následujících akcí.

Akce Notes
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálních podmínek na webu Azure Portal.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze podoperaci Čtení objektu blob , jak je znázorněno v následující tabulce.

Akce Podoperace
Všechny operace čtení Čtení objektu blob

Nevybírejte akci nejvyšší úrovně, jak je znázorněno na následujícím obrázku:

Snímek obrazovky s editorem podmínek na webu Azure Portal zobrazující výběr operace čtení objektu blob

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Group Nastavení Hodnota
Skupina č. 1
Zdroj atributů Hlavní
Atribut <attributeset>_<key>
Operátor StringEquals
Možnost Atribut
Logický operátor "AND"
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč <key>
Logický operátor "AND"
Zdroj atributů Prostředí
Atribut Privátní koncový bod
Operátor StringEqualsIgnoreCase
Hodnota /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Konec skupiny č. 1
Logický operátor "OR"
Zdroj atributů Prostředek
Atribut Značky indexu objektů blob [Hodnoty v klíči]
Klíč sensitivity
Operátor StringNotEquals
Hodnota high

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující povolený přístup pro čtení přes konkrétní privátní koncový bod pro označené uživatele

Další kroky