Sdílet prostřednictvím

Příklady podmínek přiřazení role Azure pro Blob Storage

Tento článek uvádí několik příkladů podmínek přiřazení rolí pro řízení přístupu ke službě Azure Blob Storage.

Důležité

Řízení přístupu na základě atributů Azure (Azure ABAC) je obecně dostupné (GA) pro řízení přístupu ke službě Azure Blob Storage, Azure Data Lake Storage Gen2 a Frontám Azure pomocí atributů request, resource, environment a principal v úrovních výkonu standardních a prémiových účtů služby Azure Storage. Objekt blob seznamu v současné době obsahuje atribut požadavku a atribut požadavku snímku pro hierarchický obor názvů ve verzi PREVIEW. Úplné informace o stavu funkcí ABAC pro Azure Storage najdete v tématu Stav funkcí podmínky ve službě Azure Storage.

Podívejte se na doplňkové podmínky užívání služby Microsoft Azure Preview pro právní podmínky, které se vztahují na funkce Azure, jež jsou ve verzi beta, Preview nebo jinak ještě nejsou obecně dostupné.

Požadavky

Informace o požadavcích pro přidání nebo úpravu podmínek přiřazení role naleznete v tématu Požadavky na podmínky.

Shrnutí příkladů v tomto článku

Pomocí následující tabulky rychle vyhledejte příklad, který odpovídá vašemu scénáři ABAC. Tabulka obsahuje stručný popis scénáře a seznam atributů použitých v příkladu zdrojem (prostředí, hlavní subjekt, požadavek a prostředek).

Příklad Životní prostředí Ředitel školy Žádost Zdroj
Čtení objektů blob se značkou indexu blob štítky
Nové objekty blob musí obsahovat značku indexu objektů blob. štítky
Existující bloby musí mít klíče značek indexu. štítky
Existující objekty blob musí mít klíč a hodnoty značky objektu blob. štítky
Provádět čtení, zápis nebo mazání blobů v pojmenovaných kontejnerech název kontejneru
Čtěte bloby v pojmenovaných kontejnerech s uvedenou cestou název kontejneru
cesta k blobu
Čtení nebo vypsání blobů v pojmenovaných kontejnerech podle cesty Předpona objektu blob název kontejneru
cesta k blobu
Zápis objektů blob do pojmenovaných kontejnerů s cestou název kontejneru
cesta k blobu
Čtení blobů s indexovou značkou a cestou Cesta k objektu blob značek
Čtení objektů blob v kontejneru s konkrétními metadaty metadata kontejneru
Zapisování nebo mazání objektů blob v kontejneru s konkrétními metadaty metadata kontejneru
Číst pouze aktuální verze blobů jeAktuálníVerze
Čtení aktuálních verzí objektů blob a konkrétní verze objektu blob versionId jeAktuálníVerze
Smazat staré verze blobů versionId
Čtení aktuálních verzí objektů blob a všech snímků objektů blob snímek jeAktuálníVerze
Povolit operaci seznamu objektů blob včetně metadat, snímků nebo verzí Zahrnout blob do seznamu
Omezení operace seznamu blobů tak, aby nezahrnovala metadata blobů Zahrnout blob do seznamu
Účty úložiště jen pro čtení s povoleným hierarchickým oborem názvů isHnsEnabled
Čtení objektů blob se specifickými šifrovacími oblastmi Název oboru šifrování
Čtení nebo zápis objektů blob v pojmenovaném účtu úložiště s konkrétním oborem šifrování Název účtu úložiště
Název oboru šifrování
Čtení nebo zápis objektů blob na základě tagů indexu blobů a specifických atributů zabezpečení ID štítky štítky
Přečtěte si objekty blob na základě značek indexu objektů blob a vlastních bezpečnostních atributů s více hodnotami ID štítky
Povolit přístup pro čtení k objektům blob po určitém datu a čase UtcNow název kontejneru
Povolení přístupu k objektům blob v konkrétních kontejnerech z konkrétní podsítě Podsíť název kontejneru
Vyžadovat přístup soukromého propojení k čtení souborů blob s vysokou citlivostí isPrivateLink štítky
Povolit přístup ke kontejneru pouze z konkrétního privátního koncového bodu Privátní koncový bod název kontejneru
Příklad: Povolení přístupu pro čtení k vysoce citlivým datům objektů blob pouze z konkrétního privátního koncového bodu a podle uživatelů označených pro přístup Privátní koncový bod ID štítky

Značky pro indexování blobů

Tato část obsahuje příklady zahrnující značky indexu objektů blob.

Důležité

Read content from a blob with tag conditions I když je podoperace aktuálně podporovaná kvůli kompatibilitě s podmínkami implementovanými během verze Preview funkce ABAC, je zastaralá a Společnost Microsoft místo toho doporučuje tuto akci použítRead a blob.

Při konfiguraci podmínek ABAC na webu Azure Portal se může zobrazit zastaralé: Čtení obsahu z objektu blob s podmínkami značek. Microsoft doporučuje operaci odebrat a nahradit ji Read a blob akcí.

Pokud vytváříte vlastní podmínku, ve které chcete omezit přístup pro čtení podle podmínek značek, přečtěte si příklad : Čtení objektů blob se značkou indexu objektů blob.

Příklad: Čtení blobů se značkou indexu blobů

Tato podmínka umožňuje uživatelům číst objekty blob s klíčem značky indexu objektů blob v Projectu a hodnotou Kaskády. Pokusy o přístup k objektům blob bez této klíčové hodnoty nejsou povolené.

Aby tato podmínka byla účinná pro bezpečnostní entitu, musíte ji přidat do všech přiřazení rolí, které zahrnují následující akce:

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínek zobrazující přístup pro čtení k objektům blob se značkou indexu blobu

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálů webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor StringEquals
Hodnota {keyValue}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení k objektům blob se značkou indexu objektů blob

Příklad: Nové objekty blob musí obsahovat indexovou značku blobu.

Tato podmínka vyžaduje, aby všechny nové objekty blob obsahovaly klíč značky indexu objektů blob v Projectu a hodnotu Kaskády.

Existují dvě akce, které umožňují vytvářet nové objekty blob, takže musíte cílit na obojí. Tuto podmínku musíte přidat do všech přiřazení rolí, která obsahují jednu z následujících akcí:

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram stavu zobrazující nové blob objekty musí obsahovat značku indexu blob.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis do objektu blob pomocí značek indexu objektů blob
Zdroj atributů Žádost
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor StringEquals
Hodnota {keyValue}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující nové objekty blob musí obsahovat značku indexu objektů blob.

Příklad: Existující objekty blob musí mít klíče značek indexu objektů blob.

Tato podmínka vyžaduje, aby všechny existující objekty blob byly označené alespoň jedním z povolených klíčů značek indexu objektů blob : Project nebo Program. Tato podmínka je užitečná pro přidání zásad správného řízení do existujících objektů blob.

Existují dvě akce, které umožňují aktualizovat značky u existujících objektů blob, takže je nutné cílit na obojí. Tuto podmínku musíte přidat do všech přiřazení rolí, která obsahují jednu z následujících akcí:

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující existující objekty blob musí obsahovat klíče značek indexu objektů blob.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis značek indexu objektů blob
Zdroj atributů Žádost
Vlastnost Značky indexu objektů blob [Klíče]
Operátor ForAllOfAnyValues:StringEquals
Hodnota {keyName1}
{keyName2}

Snímek obrazovky z prostředí editoru podmínek na portálu Azure, který ukazuje, že existující objekty blob musí mít klíče značek indexu objektů blob.

Příklad: Existující objekty blob musí mít klíč a hodnoty značky indexu objektů blob.

Tato podmínka vyžaduje, aby všechny existující objekty blob měly jako klíč značky indexu objektů blob hodnotu projektu a hodnoty Kaskáda, Baker, nebo Skagit. Tato podmínka je užitečná pro přidání zásad správného řízení do existujících objektů blob.

Existují dvě akce, které umožňují aktualizovat značky u existujících objektů blob, takže je nutné cílit na obojí. Tuto podmínku musíte přidat do všech přiřazení rolí, které obsahují jednu z následujících akcí.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky znázorňující existující objekty blob musí mít klíč a hodnoty značky indexu objektů blob.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis značek indexu objektů blob
Zdroj atributů Žádost
Vlastnost Značky indexu objektů blob [Klíče]
Operátor ForAnyOfAnyValues:StringEquals
Hodnota {keyName}
Operátor A
Výraz 2
Zdroj atributů Žádost
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor ForAllOfAnyValues:StringEquals
Hodnota {keyValue1}
{keyValue2}
{keyValue3}

Snímek obrazovky editoru podmínek v Azure portal ukazuje, že existující objekty blob musí mít klíč a hodnoty značky indexu.

Názvy nebo cesty BLOB kontejnerů

Tato část obsahuje příklady, které ukazují, jak omezit přístup k objektům na základě názvu kontejneru nebo cesty k objektu blob.

Příklad: Čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech

Tato podmínka umožňuje uživatelům číst, zapisovat nebo odstraňovat bloby v kontejnerech úložiště pojmenovaných blobs-example-container. Tato podmínka je užitečná pro sdílení konkrétních kontejnerů úložiště s ostatními uživateli v předplatném.

Pro čtení, zápis a odstranění existujících objektů blob existuje pět akcí. Tuto podmínku musíte přidat do všech přiřazení rolí, které obsahují jednu z následujících akcí.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Podoperace se v této podmínce nepoužívají, protože jsou nutné pouze tehdy, když jsou podmínky vytvořeny na základě štítků.

Diagram vyjadřující stav, který znázorňuje čtení, zápis nebo mazání objektů blob v pojmenovaných kontejnerech.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Odstranit blob
Čtení objektu blob
Zápis do objektu blob
Vytvoření objektu blob nebo snímku nebo připojení dat
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota {containerName}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech

Příklad: Čtení blobů v pojmenovaných kontejnerech podle cesty

Tato podmínka umožňuje přístup pro čtení ke kontejnerům úložiště s názvem blobs-example-container s cestou objektu blob readonly/*. Tato podmínka je užitečná pro sdílení konkrétních částí kontejnerů úložiště pro přístup pro čtení s ostatními uživateli v předplatném.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Diagram podmínky znázorňující přístup pro čtení k objektům blob v pojmenovaných kontejnerech s cestou

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Výraz 2
Operátor A
Zdroj atributů zdroj
Vlastnost Cesta k objektu blob
Operátor StringLike
Hodnota {pathString}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení k objektům blob v pojmenovaných kontejnerech s cestou

Příklad: Čtení nebo seznam blobů v pojmenovaných kontejnerech s určenou cestou

Tato podmínka umožňuje přístup pro čtení a také seznamový přístup k kontejnerům úložiště s názvem blobs-example-container s cestou blob readonly/*. Podmínka č. 1 se vztahuje na čtení s výjimkou seznamu blobů. Podmínka č. 2 se vztahuje na blobů zobrazených seznamem. Tato podmínka je užitečná pro sdílení konkrétních částí kontejnerů úložiště pro přístup ke čtení nebo výpisu s ostatními uživateli v předplatném.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Diagram stavu zobrazující přístup k čtení a výpisu blobů v pojmenovaných kontejnerech s cestou

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Poznámka:

Portál Azure používá předponu '=' k seznamu objektů blob z kořenového adresáře kontejneru. Po přidání podmínky s operací na seznam objektů blob pomocí předpony StringStartsWith 'readonly/', cíloví uživatelé nebudou moci vypsat objekty blob z kořenového adresáře kontejneru na portálu Azure.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Výraz 2
Operátor A
Zdroj atributů zdroj
Vlastnost Cesta k objektu blob
Operátor StringStartsWith
Hodnota {pathString}
Podmínka č. 2 Nastavení
Akce Seznam blobů
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Výraz 2
Operátor A
Zdroj atributů Žádost
Vlastnost Předpona objektu blob
Operátor StringStartsWith
Hodnota {pathString}

Příklad: Zápis blob datových objektů do pojmenovaných kontejnerů v rámci cesty

Tato podmínka umožňuje partnerovi (uživateli typu host Microsoft Entra) vkládat soubory do kontejnerů úložiště s názvem Contosocorp s cestou uploads/contoso/*. Tato podmínka je užitečná, když ostatním uživatelům umožní umístit data do kontejnerů úložiště.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Diagram znázorňující stav přístupu k zápisu k objektům blob v pojmenovaných kontejnerech s přístupovou cestou

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob
Vytvoření objektu blob nebo snímku nebo připojení dat
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota {containerName}
Výraz 2
Operátor A
Zdroj atributů zdroj
Vlastnost Cesta k objektu blob
Operátor StringLike
Hodnota {pathString}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup k zápisu k objektům blob v pojmenovaných kontejnerech s cestou

Příklad: Čtení objektů blob s indexovým štítkem a cestou

Tato podmínka umožňuje uživateli číst objekty blob pomocí klíče značky indexu objektů blob programu, hodnoty Alpine a cesty k objektům blob protokolů*. Blobová cesta protokolů* také zahrnuje název blobu.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení k objektům blob s indexovou značkou a cestou.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč {keyName}
Operátor StringEquals
Hodnota {keyValue}

Snímek obrazovky editoru podmínky 1 v Azure portálu, který zobrazuje přístup pro čtení k objektům blob se značkou indexu objektů blob a cestou.

Podmínka č. 2 Nastavení
Akce Čtení objektu blob
Zdroj atributů zdroj
Vlastnost Cesta k objektu blob
Operátor StringLike
Hodnota {pathString}

Snímek obrazovky editoru podmínky 2 v Azure portálu zobrazující přístup pro čtení k blokovým objektům se značkou indexu a cestou.

Metadata kontejneru objektů blob

Příklad: Čtení objektů blob v kontejneru s konkrétními metadaty

Tato podmínka umožňuje uživatelům číst objekty blob v kontejnerech objektů blob s konkrétní dvojicí klíč/hodnota metadat.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů zdroj
Vlastnost Metadata kontejneru
Operátor StringEquals
Hodnota {containerName}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující objekt blob pro čtení v kontejneru s konkrétními metadaty

Příklad: Zápis nebo odstranění objektů blob v kontejneru s konkrétními metadaty

Tato podmínka umožňuje uživatelům zapisovat nebo odstraňovat objekty blob v kontejnerech objektů blob s konkrétní dvojicí klíč/hodnota metadat.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Zápis do objektu blob
Odstranit blob
Zdroj atributů zdroj
Vlastnost Metadata kontejneru
Operátor StringEquals
Hodnota {containerName}

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující objekt blob pro zápis a odstranění v kontejneru s konkrétními metadaty

Verze blobů nebo snímky blobů

Tato část obsahuje příklady, které ukazují, jak omezit přístup k objektům na základě verze nebo snímku objektu blob.

Příklad: Čtení pouze aktuálních verzí objektů blob

Tato podmínka umožňuje uživateli číst pouze aktuální verze objektů blob. Uživatel nemá přístup ke čtení jiných verzí objektů blob.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení pouze k aktuální verzi objektu blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů zdroj
Vlastnost Je aktuální verze
Operátor boolEquals
Hodnota Pravdivé

Příklad: Čtení aktuálních verzí objektů blob a konkrétní verze objektu blob

Tato podmínka umožňuje uživateli číst aktuální verze objektů blob a také číst objekty blob s ID verze 2022-06-01T23:38:32.883645Z. Uživatel nemá přístup ke čtení jiných verzí objektů blob. Atribut ID verze je k dispozici pouze pro účty úložiště, kde není povolený hierarchický obor názvů.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Diagram podmínky znázorňující přístup pro čtení ke konkrétní verzi objektu blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů Žádost
Vlastnost ID verze
Operátor DateTimeEquals
Hodnota <blobVersionId>
Výraz 2
Operátor Nebo
Zdroj atributů zdroj
Vlastnost Je aktuální verze
Operátor boolEquals
Hodnota Pravdivé

Příklad: Odstranění starých verzí objektů blob

Tato podmínka umožňuje uživateli odstranit verze objektu blob, které jsou starší než 1. 6. 2022, aby provedl vyčištění. Atribut ID verze je k dispozici pouze pro účty úložiště, kde není povolený hierarchický obor názvů.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Diagram podmínky znázorňující oprávnění k odstranění starých verzí blobů

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Odstranit blob
Odstranění verze objektu blob
Zdroj atributů Žádost
Vlastnost ID verze
Operátor DateTimeLessThan
Hodnota <blobVersionId>

Příklad: Čtení aktuálních verzí objektů blob a všech snímků objektů blob

Tato podmínka umožňuje uživateli číst aktuální verze objektů blob a všechny snímky objektů blob. Atribut ID verze je k dispozici pouze pro účty úložiště, kde není povolený hierarchický obor názvů. Atribut Snapshot je k dispozici pro účty úložiště, u kterých není povolený hierarchický obor názvů, a v současné době je ve verzi Preview pro účty úložiště, ve kterých je povolený hierarchický obor názvů.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení k aktuálním verzím objektů blob a snímkům objektů blob

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů Žádost
Vlastnost Snímek
Existuje Kontroloval
Výraz 2
Operátor Nebo
Zdroj atributů zdroj
Vlastnost Je aktuální verze
Operátor boolEquals
Hodnota Pravdivé

Příklad: Povolit operaci listování objektů blob, aby zahrnovala metadata objektů blob, snímky nebo verze.

Tato podmínka uživateli umožňuje vypsat objekty blob v kontejneru a zahrnout metadata, snapshot a informace o verzích. Seznam objektů blob zahrnuje atribut, který je dostupný pro účty úložiště, kde není povolený hierarchický obor názvů.

Poznámka:

List blobs include je atribut požadavku, který funguje tak, že umožňuje nebo omezuje hodnoty v include parametru při volání operace List Blobs. Hodnoty v parametru include se porovnávají s hodnotami zadanými v podmínce pomocí operátorů porovnání mezi produkty. Pokud se porovnání vyhodnotí jako true, List Blobs požadavek je povolený. Pokud se porovnání vyhodnotí jako nepravda, List Blobs požadavek se odepře.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Seznam blobů
Zdroj atributů Žádost
Vlastnost Mezi objekty blob seznamu patří
Operátor Pro všechny hodnoty:Rozlišování velkých a malých písmen rovnocenné ignorování
Hodnota {'metadata', 'snímky', 'verze'}

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující podmínku, která uživateli umožní vypsat objekty blob v kontejneru a zahrnout metadata, snímek a informace o verzi

Příklad: Omezení operace výčtu objektů blob tak, aby neobsahovala metadata objektu blob

Tato podmínka omezuje uživatele při výpisu objektů blob, pokud jsou v požadavku zahrnuta metadata. Seznam objektů blob zahrnuje atribut, který je dostupný pro účty úložiště, kde není povolený hierarchický obor názvů.

Poznámka:

List blobs include je atribut požadavku, který funguje tak, že umožňuje nebo omezuje hodnoty v include parametru při volání operace List Blobs. Hodnoty v parametru include se porovnávají s hodnotami zadanými v podmínce pomocí operátorů porovnání mezi produkty. Pokud se porovnání vyhodnotí jako true, List Blobs požadavek je povolený. Pokud se porovnání vyhodnotí jako nepravda, List Blobs požadavek se odepře.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Seznam blobů
Zdroj atributů Žádost
Vlastnost Mezi objekty blob seznamu patří
Operátor ForAllOfAllValues:StringNotEquals
Hodnota {'metadata'}

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující podmínku, která uživateli brání v výpisu objektů blob, když jsou metadata zahrnutá v požadavku

Hierarchický obor názvů

Tato část obsahuje příklady ukazující, jak omezit přístup k objektům na základě toho, jestli je pro účet úložiště povolený hierarchický obor názvů.

Příklad: Účty úložiště pouze pro čtení s povolenou hierarchickou strukturou názvů

Tato podmínka umožňuje uživateli pouze číst objekty blob v úložištích s povoleným hierarchickým oborem názvů. Tato podmínka platí pouze v oboru skupiny prostředků nebo na vyšší úrovni.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky znázorňující přístup pro čtení k účtům úložiště s povoleným hierarchickým oborem názvů

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Všechny operace s daty pro účty s povoleným hierarchickým názvovým prostorem (pokud je to relevantní)
Zdroj atributů zdroj
Vlastnost Je povolený hierarchický obor názvů.
Operátor boolEquals
Hodnota Pravdivé

Rozsah šifrování

Tato část obsahuje příklady ukazující, jak omezit přístup k objektům se schváleným oborem šifrování.

Příklad: Čtení blobů se specifickými šifrovacími oblastmi

Tato podmínka umožňuje uživateli číst bloby zašifrované v oboru šifrování validScope1 nebo validScope2.

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Diagram podmínky zobrazující přístup pro čtení k objektům blob s oborem šifrování validScope1 nebo validScope2

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zdroj atributů zdroj
Vlastnost Název oboru šifrování
Operátor ForAnyOfAnyValues:StringEquals
Hodnota <názevRozsahu>

Příklad: Čtení nebo zápis objektů blob v pojmenovaném účtu úložiště s konkrétním oborem šifrování

Tato podmínka umožňuje uživateli číst nebo zapisovat objekty blob v účtu úložiště s názvem sampleaccount a šifrovaného pomocí šifrovacího oboru ScopeCustomKey1. Pokud objekty blob nejsou šifrované nebo dešifrované pomocí ScopeCustomKey1, požadavek je zakázán.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Poznámka:

Vzhledem k tomu, že obory šifrování pro různé účty úložiště se můžou lišit, doporučujeme použít storageAccounts:name atribut s atributem encryptionScopes:name k omezení konkrétního rozsahu šifrování, který se má povolit.

Diagram podmínek, který zobrazuje přístup pro čtení nebo zápis k blobům v úložišti sampleaccount s šifrovacím oborem ScopeCustomKey1.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení objektu blob
Zápis do objektu blob
Vytvoření objektu blob nebo snímku nebo připojení dat
Zdroj atributů zdroj
Vlastnost Název účtu
Operátor StringEquals
Hodnota <název účtu>
Výraz 2
Operátor A
Zdroj atributů zdroj
Vlastnost Název oboru šifrování
Operátor ForAnyOfAnyValues:StringEquals
Hodnota <názevRozsahu>

Hlavní atributy

Tato část obsahuje příklady, které ukazují, jak omezit přístup k objektům na základě vlastních bezpečnostních principů.

Příklad: Čtení nebo zápis blobů na základě značek indexu blobů a vlastních atributů zabezpečení

Tato podmínka umožňuje přístup pro čtení nebo zápis k objektům blob, pokud má uživatel vlastní atribut zabezpečení , který odpovídá značce indexu objektů blob.

Pokud má například Brenda atribut Project=Baker, může jen číst nebo zapisovat objekty blob se značkou indexu Project=Baker objektů blob. Podobně může Chandra číst nebo zapisovat pouze objekty blob s Project=Cascade.

Tuto podmínku musíte přidat do všech přiřazení rolí, která zahrnují následující akce.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Další informace najdete v tématu Povolení přístupu pro čtení k objektům blob na základě značek a vlastních atributů zabezpečení.

Diagram podmínky zobrazující přístup pro čtení nebo zápis k objektům blob na základě značek indexu objektů blob a vlastních atributů zabezpečení

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení podmínek blobu
Zdroj atributů Hlavní
Vlastnost <sadaAtributů>_<klíč>
Operátor StringEquals
Možnost Vlastnost
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč <klíč>
Podmínka č. 2 Nastavení
Akce Zápis do objektu blob pomocí značek indexu objektů blob
Zápis do objektu blob pomocí značek indexu objektů blob
Zdroj atributů Hlavní
Vlastnost <sadaAtributů>_<klíč>
Operátor StringEquals
Možnost Vlastnost
Zdroj atributů Žádost
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč <klíč>

Příklad: Čtení objektů blob na základě značek indexu objektů blob a vlastních atributů zabezpečení s více hodnotami

Tato podmínka umožňuje přístup pro čtení k objektům blob, pokud má uživatel vlastní atribut zabezpečení se všemi hodnotami, které odpovídají značce indexu objektu blob.

Pokud má například Chandra atribut Project s hodnotami Baker a Cascade, může číst pouze objekty blob se značkou indexu Project=Baker objektu blob.Project=Cascade

Tuto podmínku musíte přidat do všech přiřazení rolí, které zahrnují následující akci.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Další informace najdete v tématu Povolení přístupu pro čtení k objektům blob na základě značek a vlastních atributů zabezpečení.

Diagram podmínky zobrazující přístup pro čtení k objektům blob na základě značek indexu objektů blob a vlastních atributů zabezpečení s více hodnotami

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí webu Azure Portal.

Podmínka č. 1 Nastavení
Akce Čtení podmínek blobu
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč <klíč>
Operátor ForAnyOfAnyValues:StringEquals
Možnost Vlastnost
Zdroj atributů Hlavní
Vlastnost <sadaAtributů>_<klíč>

Atributy prostředí

Tato část obsahuje příklady ukazující, jak omezit přístup k objektům na základě síťového prostředí nebo aktuálního data a času.

Příklad: Povolení přístupu pro čtení k objektům blob po určitém datu a čase

Tato podmínka umožňuje přístup pro čtení ke kontejneru container1 objektů blob až po 13:00 hodině dne 1. května 2023 světového koordinovaného času (UTC).

Jsou dvě možné akce pro čtení existujících blobů. Abyste tuto podmínku nastavili jako efektivní pro subjekty, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují jakoukoliv z následujících akcí.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze podoperaci Čtení objektu blob , jak je znázorněno v následující tabulce.

Činnost Podoperace
Všechny operace čtení Čtení objektu blob

Nevybírejte akci Všechny operace čtení na nejvyšší úrovni ani žádné jiné dílčí operace, jak je znázorněno na následujícím obrázku:

Snímek obrazovky s editorem podmínek na webu Azure Portal zobrazující výběr jenom operace čtení

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Nastavení Hodnota
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota container1
Logický operátor "AND"
Zdroj atributů Prostředí
Vlastnost UtcNow
Operátor DateTimeGreaterThan
Hodnota 2023-05-01T13:00:00.000Z

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal s povoleným přístupem pro čtení po určitém datu a čase

Příklad: Povolení přístupu k objektům blob v konkrétních kontejnerech z konkrétní podsítě

Tato podmínka umožňuje čtení, zápis, přidání a odstranění přístupu k objektům blob pouze z podsítě container1default ve virtuální síti virtualnetwork1. Pokud chcete použít atribut Subnet v tomto příkladu, musí mít podsíťpovolené koncové body služby pro Azure Storage.

Existuje pět možných akcí pro čtení, zápis, přidání a odstranění přístupu k existujícím objektům blob. Abyste tuto podmínku nastavili jako efektivní pro subjekty, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují jakoukoliv z následujících akcí.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze akce nejvyšší úrovně zobrazené v následující tabulce.

Činnost Podoperace
Všechny operace čtení není k dispozici
Zápis do objektu blob není k dispozici
Vytvoření objektu blob nebo snímku nebo připojení dat není k dispozici
Odstranit blob není k dispozici

Nevybírejte žádné jednotlivé dílčíoperace, jak je znázorněno na následujícím obrázku:

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující výběr operací čtení, zápisu, přidání a odstranění

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Nastavení Hodnota
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota container1
Logický operátor "AND"
Zdroj atributů Prostředí
Vlastnost Podsíť
Operátor StringEqualsIgnoreCase
Hodnota /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení ke konkrétním kontejnerům povoleným z konkrétní podsítě

Tato podmínka vyžaduje, aby požadavky na čtení objektů blob, kde značka indexu blobu citlivost má hodnotu high, byly přes privátní propojení (jakékoli privátní propojení). To znamená, že všechny pokusy o čtení vysoce citlivých blobů z veřejného internetu nebudou umožněny. Uživatelé mohou číst ze veřejného internetu objekty blob, jejichž citlivost je nastavena na jinou hodnotu než high.

Pravdivostní tabulka pro tuto ukázkovou podmínku ABAC:

Akce Citlivost Soukromý odkaz Přístup
Přečíst blob vysoko Ano Povoleno
Přečíst blob vysoko Ne Není povoleno
Přečíst blob NENÍ vysoký Ano Povoleno
Čtení objektu blob NENÍ vysoký Ne Povoleno

Jsou dvě možné akce pro čtení existujících blobů. Abyste tuto podmínku nastavili jako efektivní pro subjekty, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují jakoukoliv z následujících akcí.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálních podmínek na webu Azure Portal.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze podoperaci Čtení objektu blob , jak je znázorněno v následující tabulce.

Činnost Podoperace
Všechny operace čtení Čtení objektu blob

Nezvolte akci Všechny operace čtení na nejvyšší úrovni v rámci žádných jiných dílčích operací, jak je znázorněno na následujícím obrázku.

Snímek obrazovky s editorem podmínek na webu Azure Portal zobrazující výběr jenom operace čtení

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Skupina Nastavení Hodnota
Skupina č. 1
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč sensitivity
Operátor StringEquals
Hodnota high
Logický operátor "AND"
Zdroj atributů Prostředí
Vlastnost Je privátní propojení
Operátor boolEquals
Hodnota True
Konec skupiny č. 1
Logický operátor "OR"
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč sensitivity
Operátor StringNotEquals
Hodnota high

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující přístup pro čtení vyžadující jakýkoli privátní odkaz pro citlivá data

Příklad: Povolení přístupu ke kontejneru pouze z konkrétního privátního koncového bodu

Tato podmínka vyžaduje, aby všechny operace čtení, zápisu, přidání a odstranění objektů blob v kontejneru úložiště s názvem container1 byly prováděny prostřednictvím privátního koncového bodu s názvem privateendpoint1. Pro všechny ostatní kontejnery, které nejsou pojmenované container1, nemusí být přístup přes privátní koncový bod.

Existuje pět možných akcí pro čtení, zápis a odstranění existujících objektů blob. Abyste tuto podmínku nastavili jako efektivní pro subjekty, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují jakoukoliv z následujících akcí.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.
Přidejte, pokud účty úložiště zahrnuté v této podmínce mají povolený hierarchický obor názvů nebo můžou být v budoucnu povolené.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálních podmínek na webu Azure Portal.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze akce nejvyšší úrovně zobrazené v následující tabulce.

Činnost Podoperace
Všechny operace čtení není k dispozici
Zápis do objektu blob není k dispozici
Vytvoření objektu blob nebo snímku nebo připojení dat není k dispozici
Odstranit blob není k dispozici

Nevybírejte žádné jednotlivé dílčíoperace, jak je znázorněno na následujícím obrázku:

Snímek obrazovky editoru podmínek na webu Azure Portal znázorňující výběr operací čtení, zápisu, přidání a odstranění

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Skupina Nastavení Hodnota
Skupina č. 1
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringEquals
Hodnota container1
Logický operátor "AND"
Zdroj atributů Prostředí
Vlastnost Privátní koncový bod
Operátor StringEqualsIgnoreCase
Hodnota /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Konec skupiny č. 1
Logický operátor "OR"
Zdroj atributů zdroj
Vlastnost Název kontejneru
Operátor StringNotEquals
Hodnota container1

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek v Azure portálu zobrazující čtení, zápis nebo odstranění objektů blob v pojmenovaných kontejnerech s atributem prostředí privátního koncového bodu

Příklad: Povolení přístupu pro čtení k vysoce citlivým datům objektů blob pouze z konkrétního privátního koncového bodu a podle uživatelů označených pro přístup

Tato podmínka vyžaduje, aby objekty blob s indexem sensitivity nastaveným na high mohly být čteny pouze uživateli, kteří mají odpovídající hodnotu pro atribut zabezpečení sensitivity. Kromě toho musí být přístupné přes privátní koncový bod s názvem privateendpoint1. Objekty blob, které mají jinou hodnotu značky citlivosti , mají přístup přes jiné koncové body nebo internet.

Jsou dvě možné akce pro čtení existujících blobů. Abyste tuto podmínku nastavili jako efektivní pro subjekty, které mají více přiřazení rolí, musíte tuto podmínku přidat do všech přiřazení rolí, která obsahují jakoukoliv z následujících akcí.

Činnost Poznámky
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Přidejte, pokud definice role zahrnuje tuto akci, například vlastník dat objektu blob služby Storage.

Podmínku je možné přidat k přiřazení role pomocí webu Azure Portal nebo Azure PowerShellu. Portál má dva nástroje pro vytváření podmínek ABAC – editor vizuálu a editor kódu. Mezi těmito dvěma editory na webu Azure Portal můžete přepínat a zobrazit podmínky v různých zobrazeních. Přepněte mezi kartou Editor vizuálu a kartami editoru kódu a zobrazte příklady preferovaného editoru portálu.

Tady jsou nastavení pro přidání této podmínky pomocí editoru vizuálních podmínek na webu Azure Portal.

Přidat akci

Vyberte Přidat akci a pak vyberte pouze podoperaci Čtení objektu blob , jak je znázorněno v následující tabulce.

Činnost Podoperace
Všechny operace čtení Čtení objektu blob

Nevybírejte akci nejvyšší úrovně, jak je znázorněno na následujícím obrázku:

Snímek obrazovky s editorem podmínek na webu Azure Portal zobrazující výběr operace čtení objektu blob

Sestavit výraz

Hodnoty v následující tabulce použijte k sestavení části podmínky výrazu:

Skupina Nastavení Hodnota
Skupina č. 1
Zdroj atributů Hlavní
Vlastnost <sadaAtributů>_<klíč>
Operátor StringEquals
Možnost Vlastnost
Logický operátor "AND"
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč <klíč>
Logický operátor "AND"
Zdroj atributů Prostředí
Vlastnost Privátní koncový bod
Operátor StringEqualsIgnoreCase
Hodnota /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Konec skupiny č. 1
Logický operátor "OR"
Zdroj atributů zdroj
Vlastnost Značky indexu objektů blob [Hodnoty v klíči]
Klíč sensitivity
Operátor StringNotEquals
Hodnota high

Následující obrázek znázorňuje podmínku po zadání nastavení na webu Azure Portal. Abyste zajistili správné vyhodnocení, musíte seskupit výrazy.

Snímek obrazovky editoru podmínek na webu Azure Portal zobrazující povolený přístup pro čtení přes konkrétní privátní koncový bod pro označené uživatele

Další kroky

  • Last updated on