Aktionen und Attribute für Azure-Rollenzuweisungsbedingungen für Azure Blob Storage
In diesem Artikel werden die unterstützten Attributverzeichnisse beschrieben, die in Bedingungen für Azure-Rollenzuweisungen bei jeder Azure Storage-DataAction verwendet werden können. Eine Liste der Blob-Dienstvorgänge, die von einer bestimmten Berechtigung oder „DataAction“ betroffen sind, finden Sie unter Berechtigungen für Blob-Dienstvorgänge.
Informationen zum Format der Rollenzuweisungsbedingung finden Sie unter Format und Syntax von Azure-Rollenzuweisungsbedingungen.
Wichtig
Die attributbasierte Zugriffssteuerung (Attribute-Based Access Control, ABAC) in Azure ist allgemein verfügbar, um den Zugriff auf Azure Blob Storage, Azure Data Lake Storage Gen2 und Azure-Warteschlangen mithilfe der Attribute request, resource, environment und principal sowohl auf der standardmäßigen als auch auf der Premium-Speicherkonto-Leistungsstufe zu steuern. Derzeit befinden sich das Ressourcenattribut für Containermetadaten und das Listen-BLOB-Anforderungsattribut in der VORSCHAU. Vollständige Informationen zum Status des ABAC-Features für Azure Storage finden Sie unter Status der Bedingungsfeatures in Azure Storage.
Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Untervorgänge
Mehrere Speicherdienstvorgänge können einer einzelnen Berechtigung oder „DataAction“ zugeordnet werden. Allerdings unterstützt jeder dieser Vorgänge, die derselben Berechtigung zugeordnet sind, möglicherweise unterschiedliche Parameter. Mit Untervorgängen können Sie zwischen Dienstvorgängen unterscheiden, die dieselbe Berechtigung erfordern, aber unterschiedliche Gruppen von Attributen für Bedingungen unterstützen. Daher können Sie mithilfe eines Untervorgangs eine Bedingung für den Zugriff auf eine Teilmenge von Vorgängen angeben, die einen bestimmten Parameter unterstützen. Anschließend können Sie eine andere Zugriffsbedingung für Vorgänge mit derselben Aktion verwenden, die diesen Parameter nicht unterstützt.
Beispielsweise ist die Aktion Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write für mehr als ein Dutzend verschiedener Dienstvorgänge erforderlich. Einige dieser Vorgänge können Blobindextags als Anforderungsparameter akzeptieren, andere dagegen nicht. Bei Vorgängen, die Blobindextags als Parameter akzeptieren, können Sie Blobindextags in einer Anforderungsbedingung verwenden. Wenn eine solche Bedingung aber für die Aktion „Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write“ definiert wird, können alle Vorgänge, die keine Tags als Anforderungsparameter akzeptieren, diese Bedingung nicht auswerten, und die Autorisierungszugriffsprüfung schlägt fehl.
In diesem Fall kann mithilfe des optionalen Untervorgangs Blob.Write.WithTagHeaders eine Bedingung nur auf diejenigen Vorgänge angewendet werden, die Blobindextags als Anforderungsparameter unterstützen.
Hinweis
Von Blobs wird auch das Speichern beliebiger benutzerdefinierter Schlüssel-Wert-Metadaten unterstützt. Metadaten sind zwar mit Blobindextags vergleichbar, für Bedingungen müssen jedoch Blobindextags verwendet werden. Weitere Informationen finden Sie unter Verwalten und Finden von Azure-Blobdaten mit Blobindextags.
Azure Blob Storage-Aktionen und Unteroperationen
In diesem Abschnitt werden die unterstützten Azure Blob Storage-Aktionen und Unteroperationen aufgeführt, auf die Sie für Bedingungen abzielen können. Diese sind in der folgenden Tabelle zusammengefasst:
| `Display name` | DataAction | Untervorgang |
|---|---|---|
| Dient zum Lesen von Vorgängen. | ||
| Suchen nach Blobs anhand von Tags | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
– |
| Auflisten von Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Blob.List |
| Blob lesen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
NOT Blob.List |
| Lesen von Blobindextags | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
Nicht zutreffend |
| Lesen von Inhalten aus einem Blob mit Tagbedingungen (veraltet) |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Blob.Read.WithTagConditions |
| Schreibvorgänge | ||
| Blob oder Momentaufnahme erstellen oder Daten anfügen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
– |
| Löschen eines Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
– |
| Löschen einer Version eines Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action |
– |
| Dauerhaftes Löschen eines Blobs, wodurch vorläufiges Löschen außer Kraft gesetzt wird | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action |
– |
| Datei oder eines Verzeichnisses umbenennen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action |
– |
| Legt die Zugriffsebene für ein Blob fest | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Blob.Write.Tier |
| Blobindextags schreiben | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
– |
| Richtlinie für die Aufbewahrung für juristische Zwecke und Unveränderlichkeit für Schreiben in Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
– |
| Schreiben in einen Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
– |
| Schreiben in ein Blob mit Blobindextags | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
Blob.Write.WithTagHeaders |
| Berechtigungsvorgänge | ||
| Besitzer eines Blobs ändern | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action |
– |
| Ändern von Berechtigungen eines Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action |
– |
| HNS-Vorgänge | ||
| Alle Datenvorgänge für Konten mit aktiviertem hierarchischem Namespace | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
– |
Auflisten von Blobs
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Auflisten von Blobs |
| Beschreibung | Auflisten von Blobs-Vorgang. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Untervorgang | Blob.List |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername |
| Anforderungsattribute | Blobpräfix |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})Beispiel: Lesen oder Auflisten von Blobs in benannten Containern mit einem Pfad |
Blob lesen
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blob lesen |
| Beschreibung | Alle Blob-Lesevorgänge ohne Liste. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Untervorgang | NICHT Blob.List |
| Ressourcenattribute | Kontoname Ist die aktuelle Version Ist der aktivierte hierarchische Namespace Containername Blobpfad Name des Verschlüsselungsbereichs |
| Anforderungsattribute | Versions-ID Momentaufnahme |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})Beispiel: Lesen von Blobs in benannten Containern mit einem Pfad |
Inhalt aus einem Blob mit Tagbedingungen lesen
Wichtig
Der Untervorgang Read content from a blob with tag conditions ist veraltet. Auch wenn er derzeit zum Bereitstellen von Kompatibilität mit Bedingungen unterstützt wird, die während der ABAC-Featurevorschau implementiert wurden, empfiehlt Microsoft stattdessen die Verwendung der Aktion Blob lesen.
Beim Konfigurieren von ABAC-Bedingungen im Azure-Portal wird möglicherweise VERALTET: Lesen von Inhalten aus Blob mit Tagbedingungen angezeigt. Microsoft empfiehlt, den Vorgang zu entfernen und durch die Aktion Read a blob zu ersetzen.
Wenn Sie Ihre eigene Bedingung erstellen, in der Sie den Lesezugriff durch Tagbedingungen einschränken möchten, lesen Sie Beispiel: Lesen von Blobs mit einem Blobindextag.
Lesen von Blobindextags
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Lesen von Blobindextags |
| Beschreibung | „DataAction“ zum Lesen von Blobindextags. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist die aktuelle Version Ist der aktivierte hierarchische Namespace Containername Blobpfad Blobindextags [Werte in Schlüssel] Blobindextags [Schlüssel] |
| Anforderungsattribute | Versions-ID Momentaufnahme |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Weitere Informationen | Verwalten und Finden von Azure-Blobdaten mit Blobindextags |
Blobs anhand von Tags suchen
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blobs anhand von Tags suchen |
| Beschreibung | DataAction zum Suchen nach Blobs nach Indextags. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
In Blob schreiben
| Eigenschaft | Wert |
|---|---|
| Anzeigename | In Blob schreiben |
| Beschreibung | „DataAction“ zum Schreiben in Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad Name des Verschlüsselungsbereichs |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})Beispiel: Lesen, Schreiben oder Löschen von Blobs in benannten Containern |
Legt die Zugriffsebene für ein Blob fest
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Legt die Zugriffsebene für ein Blob fest |
| Beschreibung | „DataAction“ zum Schreiben in Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Untervorgang | Blob.Write.Tier |
| Ressourcenattribute | Kontoname Ist die aktuelle Version Ist der aktivierte hierarchische Namespace Containername Blobpfad Name des Verschlüsselungsbereichs |
| Anforderungsattribute | Versions-ID Momentaufnahme |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.Tier'}) |
In ein Blob mit Blobindextags schreiben
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Schreiben in ein Blob mit Blobindextags |
| Beschreibung | REST-Vorgänge: „Put Blob“ (Blob festlegen), „Put Block List“ (Blockliste festlegen), „Copy Blob“ (Blob kopieren) und „Copy Blob from URL“ (Blob aus URL kopieren). |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Untervorgang | Blob.Write.WithTagHeaders |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad Name des Verschlüsselungsbereichs |
| Anforderungsattribute | Blobindextags [Werte in Schlüssel] Blobindextags [Schlüssel] |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})Beispiel: Neue Blobs müssen ein Blobindextag enthalten |
| Weitere Informationen | Verwalten und Finden von Azure-Blobdaten mit Blobindextags |
Blob oder Momentaufnahme erstellen oder Daten anfügen
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blob oder Momentaufnahme erstellen oder Daten anfügen |
| Beschreibung | „DataAction“ zum Erstellen von Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad Name des Verschlüsselungsbereichs |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})Beispiel: Lesen, Schreiben oder Löschen von Blobs in benannten Containern |
Blobindextags schreiben
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blobindextags schreiben |
| Beschreibung | „DataAction“ zum Schreiben von Blobindextags. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist die aktuelle Version Ist der aktivierte hierarchische Namespace Containername Blobpfad Blobindextags [Werte in Schlüssel] Blobindextags [Schlüssel] |
| Anforderungsattribute | Blobindextags [Werte in Schlüssel] Blobindextags [Schlüssel] Versions-ID Momentaufnahme |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})Beispiel: Vorhandene Blobs müssen „Blobindextag“-Schlüssel haben |
| Weitere Informationen | Verwalten und Finden von Azure-Blobdaten mit Blobindextags |
Richtlinie für die Aufbewahrung für juristische Zwecke und Unveränderlichkeit für Schreiben in Blobs
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Richtlinie für die Aufbewahrung für juristische Zwecke und Unveränderlichkeit für Schreiben in Blobs |
| Beschreibung | DataAction zum Schreiben einer Richtlinie für die Aufbewahrung für juristische Zwecke und die Unveränderlichkeit von Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
Löschen eines Blobs
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Löschen eines Blobs |
| Beschreibung | „DataAction“ zum Löschen von Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist die aktuelle Version Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | Versions-ID Momentaufnahme |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})Beispiel: Lesen, Schreiben oder Löschen von Blobs in benannten Containern |
Löschen einer Version eines Blobs
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Löschen einer Version eines Blobs |
| Beschreibung | „DataAction“ zum Löschen einer Version eines Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | Versions-ID |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})Beispiel: Löschen von alten Blobversionen |
Dauerhaftes Löschen eines Blobs, wodurch vorläufiges Löschen außer Kraft gesetzt wird
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Dauerhaftes Löschen eines Blobs, wodurch vorläufiges Löschen außer Kraft gesetzt wird |
| Beschreibung | „DataAction“ zum dauerhaften Löschen eines Blobs, wodurch vorläufiges Löschen außer Kraft gesetzt wird. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist die aktuelle Version Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | Versions-ID Momentaufnahme |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
Ändern von Berechtigungen eines Blobs
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Ändern von Berechtigungen eines Blobs |
| Beschreibung | „DataAction“ zum Ändern von Berechtigungen eines Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
Besitzer eines Blobs ändern
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Besitzer eines Blobs ändern |
| Beschreibung | „DataAction“ zum Ändern des Besitzes eines Blobs. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
Datei oder eines Verzeichnisses umbenennen
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Datei oder eines Verzeichnisses umbenennen |
| Beschreibung | „DataAction“ zum Umbenennen von Dateien oder Verzeichnissen. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
Alle Datenvorgänge für Konten mit aktiviertem hierarchischem Namespace
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Alle Datenvorgänge für Konten mit aktiviertem hierarchischem Namespace |
| Beschreibung | DataAction für alle Datenvorgänge für Speicherkonten mit aktiviertem hierarchischem Namespace. Wenn Ihre Rollendefinition die Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Aktion enthält, sollten Sie diese Aktion in Ihre Bedingung aufnehmen. Die Ausrichtung auf diese Aktion stellt sicher, dass die Bedingung auch dann wie erwartet funktioniert, wenn der hierarchische Namespace für ein Speicherkonto aktiviert ist. |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
| Untervorgang | Nicht zutreffend |
| Ressourcenattribute | Kontoname Ist die aktuelle Version Ist der aktivierte hierarchische Namespace Containername Blobpfad |
| Anforderungsattribute | |
| Unterstützung von Prinzipalattributen | True |
| Umgebungsattribute | Ist eine private Verbindung Privater Endpunkt Subnetz UTC jetzt |
| Beispiele | Beispiel: Lesen, Schreiben oder Löschen von Blobs in benannten Containern Beispiel: Lesen von Blobs in benannten Containern mit einem Pfad Beispiel: Lesen oder Auflisten von Blobs in benannten Containern mit einem Pfad Beispiel: Schreiben von Blobs in benannten Containern mit einem Pfad Beispiel: Lesen nur von aktuellen Blobversionen Beispiel: Lesen von aktuellen Blobversionen und beliebigen Blob-Momentaufnahmen Beispiel: Lesen nur von Speicherkonten mit aktiviertem hierarchischem Namespace |
| Weitere Informationen | Hierarchischer Namespace für Azure Data Lake Storage Gen2 |
Azure Blob Storage-Attribute
In diesem Abschnitt werden die Azure Blob Storage-Attribute aufgeführt, die Sie in Ihren Bedingungsausdrücken verwenden können, je nachdem, welche Aktion Sie festlegen. Wenn Sie mehrere Aktionen für eine einzelne Bedingung auswählen, stehen für Ihre Bedingung möglicherweise weniger Attribute zur Auswahl, weil die Attribute für alle ausgewählten Aktionen verfügbar sein müssen.
Hinweis
Bei aufgeführten Attributen und Werten muss die Groß/Kleinschreibung nicht beachtet werden, sofern nicht anders angegeben.
In der folgenden Tabelle sind die verfügbaren Attribute nach Quelle zusammengefasst:
| Attributsquelle | `Display name` | BESCHREIBUNG |
|---|---|---|
| Umgebung | ||
| Ist eine private Verbindung | Gibt an, ob der Zugriff über eine private Verbindung erfolgt | |
| Privater Endpunkt | Der private Endpunkt, über den auf ein Objekt zugegriffen wird | |
| Subnetz | Das Subnetz, über das auf ein Objekt zugegriffen wird | |
| UTC jetzt | Das aktuelle Datum und die aktuelle Uhrzeit in koordinierter Weltzeit (UCT) | |
| Anforderung | ||
| Blobindextags [Schlüssel] | Indextags für eine Blob-Ressource (Schlüssel). Ist nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert wurde. | |
| Blobindextags [Werte in Schlüssel] | Indextags für eine Blob-Ressource (Werte im Schlüssel). Ist nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert wurde. | |
| Blobpräfix | Zulässiges Präfix der aufzulistenden Blobs | |
| Mögliche Werte für „list blob“ | Informationen, die in Auflistungsvorgänge einbezogen werden können, z. B. Metadaten, Momentaufnahmen oder Versionen | |
| Momentaufnahme | Der Momentaufnahme-Bezeichner für die Momentaufnahme des Blobs | |
| Versions-ID | Die Versions-ID des Blobs mit Versionsangabe. Ist nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert wurde. | |
| Ressource | ||
| Kontoname | Speicherkontoname | |
| Blobindextags [Schlüssel] | Indextags für eine Blobressource (Schlüssel) | |
| Blobindextags [Werte in Schlüssel] | Indextags für eine Blobressource (Werte im Schlüssel) | |
| Blobpfad | Pfad eines virtuellen Verzeichnisses, Blobs, Ordners oder einer Dateiressource | |
| Containername | Name eines Speichercontainers oder Dateisystems | |
| Containermetadaten | Einem Container zugeordnetes Schlüssel-Wert-Paar der Metadaten | |
| Name des Verschlüsselungsbereichs | Name des Verschlüsselungsbereichs, der zum Verschlüsseln von Daten verwendet wird | |
| Ist die aktuelle Version | Gibt an, ob es sich bei der Ressource um die aktuelle Version des Blobs handelt | |
| Ist der aktivierte hierarchische Namespace | Gibt an, ob der hierarchische Namespace für das Speicherkonto aktiviert ist |
Kontoname
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Kontoname |
| Beschreibung | Name eines Speicherkontos. |
| Attribut | Microsoft.Storage/storageAccounts:name |
| Attributquelle | Ressource |
| Attributtyp | String |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'Beispiel: Lesen oder Schreiben von Blobs im benannten Speicherkonto mit spezifischem Verschlüsselungsbereich |
Blobindextags [Schlüssel]
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blobindextags [Schlüssel] |
| Beschreibung | Indextags für eine Blobressource. Beliebige benutzerdefinierte Schlüssel-Wert-Eigenschaften, die Sie zusammen mit einer Blobressource speichern können. Verwenden Sie sie, wenn Sie den Schlüssel in Blobindextags überprüfen möchten. Nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert ist. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$& |
| Attributquelle | Ressource Anforderung |
| Attributtyp | StringList |
| Groß- und Kleinschreibung wird beachtet | True |
| Unterstützung von hierarchischen Namespaces | False |
| Beispiele | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}Beispiel: Vorhandene Blobs müssen „Blobindextag“-Schlüssel haben |
| Weitere Informationen | Verwalten und Finden von Azure-Blobdaten mit Blobindextags Hierarchischer Namespace für Azure Data Lake Storage Gen2 |
Blobindextags [Werte in Schlüssel]
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blobindextags [Werte in Schlüssel] |
| Beschreibung | Indextags für eine Blobressource. Beliebige benutzerdefinierte Schlüssel-Wert-Eigenschaften, die Sie zusammen mit einer Blobressource speichern können. Verwenden Sie sie, wenn Sie sowohl den Schlüssel (Groß-/Kleinschreibung beachten) als auch den Wert in Blobindextags überprüfen möchten. Nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert ist. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags |
| Attributquelle | Ressource Anforderung |
| Attributtyp | String |
| Groß- und Kleinschreibung wird beachtet | True |
| Unterstützung von hierarchischen Namespaces | False |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:keyname<$key_case_sensitive$>@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'Beispiel: Lesen von Blobs mit einem Blobindextag |
| Weitere Informationen | Verwalten und Finden von Azure-Blobdaten mit Blobindextags Hierarchischer Namespace für Azure Data Lake Storage Gen2 |
Blobpfad
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blobpfad |
| Beschreibung | Pfad eines virtuellen Verzeichnisses, Blobs, Ordners oder einer Dateiressource. Verwenden Sie ihn, wenn Sie den Blobnamen oder die Ordner in einem Blobpfad überprüfen möchten. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path |
| Attributquelle | Ressource |
| Attributtyp | String |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'Beispiel: Lesen von Blobs in benannten Containern mit einem Pfad |
Hinweis
Wenn Sie Bedingungen für das Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path Attribut angeben, sollten die Werte weder den Containernamen noch ein vorangestelltes Schrägstrichzeichen (/) enthalten. Verwenden Sie die Pfadzeichen ohne URL-Codierung.
Blobpräfix
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Blobpräfix |
| Beschreibung | Zulässiges Präfix der aufzulistenden Blobs. Pfad eines virtuellen Verzeichnisses oder einer Ordnerressource. Verwenden Sie diese Option, wenn Sie die Ordner in einem Blobpfad überprüfen möchten. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix |
| Attributquelle | Anforderung |
| Attributtyp | String |
| Beispiele | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'Beispiel: Lesen oder Auflisten von Blobs in benannten Containern mit einem Pfad |
Hinweis
Wenn Sie Bedingungen für das Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix Attribut angeben, sollten die Werte weder den Containernamen noch ein vorangestelltes Schrägstrichzeichen (/) enthalten. Verwenden Sie die Pfadzeichen ohne URL-Codierung.
Containername
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Containername |
| Beschreibung | Name eines Speichercontainers oder Dateisystems. Verwenden Sie ihn, wenn Sie den Containernamen überprüfen möchten. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers:name |
| Attributquelle | Ressource |
| Attributtyp | String |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'Beispiel: Lesen, Schreiben oder Löschen von Blobs in benannten Containern |
Containermetadaten
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Containermetadaten |
| Beschreibung | Einem Container zugeordnetes Schlüssel-Wert-Paar der Metadaten. Verwenden Sie diese Option, wenn Sie bestimmte Metadaten für einen Container überprüfen möchten. Derzeit in der Vorschauversion. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/metadata |
| Attributquelle | Ressource |
| Attributtyp | String |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'Beispiel: Lesen von Blobs in einem Container mit bestimmten Metadaten Beispiel: Schreiben oder Löschen von Blobs im Container mit bestimmten Metadaten |
Name des Verschlüsselungsbereichs
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Name des Verschlüsselungsbereichs |
| Beschreibung | Name des Verschlüsselungsbereichs, der zum Verschlüsseln von Daten verwendet wird. |
| Attribut | Microsoft.Storage/storageAccounts/encryptionScopes:name |
| Attributquelle | Ressource |
| Attributtyp | String |
| Unterstützung vorhanden | True |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}Beispiel: Lesen von Blobs mit bestimmten Verschlüsselungsbereichen |
| Weitere Informationen | Erstellen und Verwalten von Verschlüsselungsbereichen |
Ist die aktuelle Version
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Ist die aktuelle Version |
| Beschreibung | Gibt an, ob es sich bei der Ressource um die aktuelle Version des Blob handelt, im Gegensatz zu einer Momentaufnahme oder einer bestimmten Blobversion. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion |
| Attributquelle | Ressource |
| Attributtyp | Boolescher Wert |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals trueBeispiel: Lesen nur von aktuellen Blobversionen Beispiel: Lesen von aktuellen Blobversionen und einer bestimmten Blobversion |
Ist der hierarchische Namespace aktiviert
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Ist der hierarchische Namespace aktiviert |
| Beschreibung | Gibt an, ob der hierarchische Namespace für das Speicherkonto aktiviert ist. Dies gilt nur für den Ressourcengruppenbereich oder darüber. |
| Attribut | Microsoft.Storage/storageAccounts:isHnsEnabled |
| Attributquelle | Ressource |
| Attributtyp | Boolescher Wert |
| Beispiele | @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals trueBeispiel: Lesen nur von Speicherkonten mit aktiviertem hierarchischem Namespace |
| Weitere Informationen | Hierarchischer Namespace für Azure Data Lake Storage Gen2 |
Ist eine private Verbindung
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Ist eine private Verbindung |
| Beschreibung | Gibt an, ob der Zugriff über eine private Verbindung erfolgt. Verwendet, um Zugriff über eine private Verbindung zu verlangen. |
| Attribut | isPrivateLink |
| Attributquelle | Umgebung |
| Attributtyp | Boolescher Wert |
| Gilt für | Bei Kopiervorgängen mit den folgenden REST-Vorgängen gilt dieses Attribut nur für das Zielspeicherkonto und nicht für die Quelle: Copy Blob Copy Blob From URL Put Blob From URL Put Block From URL Append Block From URL Put Page From URL Für alle anderen Lese-, Schreib-, Erstellungs-, Lösch- und Umbenennungsvorgänge gilt es für das Speicherkonto, das das Ziel des Vorgangs ist. |
| Beispiele | @Environment[isPrivateLink] BoolEquals trueBeispiel: Zugriff über private Verbindung erforderlich, um Blobs mit hoher Vertraulichkeit zu lesen |
| Weitere Informationen | Verwenden privater Endpunkte für Azure Storage |
Mögliche Werte für „list blob“
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Mögliche Werte für „list blob“ |
| Beschreibung | Informationen, die im List Blobs-Vorgang einbezogen werden können, z. B. Metadaten, Momentaufnahmen oder Versionen Verwenden Sie diese Option, wenn Sie Werte für den Parameter include zulassen oder einschränken möchten, wenn Sie den Vorgang List Blobs aufrufen.Befindet sich aktuell in der Vorschauversion. Nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert ist. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include |
| Attributquelle | Anforderung |
| Attributtyp | String |
| Beispiele | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}Beispiel: Erlauben, dass der Vorgang „list blob“, Blob-Metadaten, Momentaufnahmen oder Versionen enthält Beispiel: Einschränken, dass der Vorgang „list blob“ keine Blobmetadaten enthält |
Privater Endpunkt
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Privater Endpunkt |
| Beschreibung | Der private Endpunkt, über den auf ein Objekt zugegriffen wird. Verwendet, um den Zugriff auf einen bestimmten privaten Endpunkt einzuschränken. Nur für Speicherkonten in Abonnements verfügbar, für die mindestens ein privater Endpunkt konfiguriert ist. |
| Attribut | Microsoft.Network/privateEndpoints |
| Attributquelle | Umgebung |
| Attributtyp | Zeichenfolge |
| Gilt für | Bei Kopiervorgängen mit den folgenden REST-Vorgängen gilt dieses Attribut nur für das Zielspeicherkonto und nicht für die Quelle: Copy Blob Copy Blob From URL Put Blob From URL Put Block From URL Append Block From URL Put Page From URL Für alle anderen Lese-, Schreib-, Erstellungs-, Lösch- und Umbenennungsvorgänge gilt es für das Speicherkonto, das das Ziel des Vorgangs ist. |
| Beispiele | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'Beispiel: Zulassen des Lesezugriffs auf einen Container nur von einem bestimmten privaten Endpunkt aus |
| Weitere Informationen | Verwenden privater Endpunkte für Azure Storage |
Momentaufnahme
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Momentaufnahme |
| Beschreibung | Der Momentaufnahme-Bezeichner für die Momentaufnahme des Blobs. Nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert ist und derzeit in der Vorschau für Speicherkonten, bei denen die hierarchische Namespace aktiviert ist. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot |
| Attributquelle | Anforderung |
| Attributtyp | DateTime |
| Unterstützung vorhanden | True |
| Unterstützung von hierarchischen Namespaces | False |
| Beispiele | Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]Beispiel: Lesen von aktuellen Blobversionen und beliebigen Blob-Momentaufnahmen |
| Weitere Informationen | Blobmomentaufnahmen Hierarchischer Namespace für Azure Data Lake Storage Gen2 |
Subnet
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Subnet |
| Beschreibung | Das Subnetz, über das auf ein Objekt zugegriffen wird. Verwendet, um den Zugriff auf ein bestimmtes Subnetz einzuschränken. Nur für Speicherkonten in Abonnements verfügbar, für die mindestens ein Subnetz eines virtuellen Netzwerks mit Dienstendpunkten konfiguriert ist. |
| Attribut | Microsoft.Network/virtualNetworks/subnets |
| Attributquelle | Umgebung |
| Attributtyp | Zeichenfolge |
| Gilt für | Bei Kopiervorgängen mit den folgenden REST-Vorgängen gilt dieses Attribut nur für das Zielspeicherkonto und nicht für die Quelle: Copy Blob Copy Blob From URL Put Blob From URL Put Block From URL Append Block From URL Put Page From URL Für alle anderen Lese-, Schreib-, Erstellungs-, Lösch- und Umbenennungsvorgänge gilt es für das Speicherkonto, das das Ziel des Vorgangs ist. |
| Beispiele | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'Beispiel: Zulassen des Zugriffs auf Blobs in bestimmten Containern aus einem bestimmten Subnetz |
| Weitere Informationen | Subnetze |
UTC jetzt
| Eigenschaft | Wert |
|---|---|
| Anzeigename | UTC jetzt |
| Beschreibung | Das aktuelle Datum und die aktuelle Uhrzeit in koordinierter Weltzeit (UTC). Verwendet, um den Zugriff auf Objekte für ein bestimmtes Datum und einen bestimmten Zeitraum zu steuern. |
| Attribut | UtcNow |
| Attributquelle | Umgebung |
| Attributtyp | DateTime (Nur die Operatoren DateTimeGreaterThan und DateTimeLessThan werden für das Attribut „UTC jetzt“ unterstützt.) |
| Beispiele | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'Beispiel: Zulassen des Lesezugriffs auf Blobs nach einem bestimmten Datum und einer bestimmten Uhrzeit |
Versions-ID
| Eigenschaft | Wert |
|---|---|
| Anzeigename | Versions-ID |
| Beschreibung | Die Versions-ID des versionierten Blobs. Nur für Speicherkonten verfügbar, bei denen der hierarchische Namespace nicht aktiviert ist. |
| Attribut | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId |
| Attributquelle | Anforderung |
| Attributtyp | DateTime |
| Unterstützung vorhanden | True |
| Unterstützung von hierarchischen Namespaces | False |
| Beispiele | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'Beispiel: Lesen von aktuellen Blobversionen und einer bestimmten Blobversion Beispiel: Lesen von aktuellen Blobversionen und beliebigen Blob-Momentaufnahmen |
| Weitere Informationen | Hierarchischer Namespace für Azure Data Lake Storage Gen2 |