Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel sind einige Beispiele für Rollenzuweisungsbedingungen aufgeführt, mit denen der Zugriff auf Azure Queue Storage-Ressourcen gesteuert werden kann.
Wichtig
Die attributbasierte Zugriffssteuerung (Attribute-Based Access Control, ABAC) in Azure ist allgemein verfügbar, um den Zugriff auf Azure Blob Storage, Azure Data Lake Storage Gen2 und Azure-Warteschlangen mithilfe der Attribute request, resource, environment und principal sowohl auf der standardmäßigen als auch auf der Premium-Speicherkonto-Leistungsstufe zu steuern. Derzeit befinden sich das Ressourcenattribut für Containermetadaten und das Listen-BLOB-Anforderungsattribut in der VORSCHAU. Vollständige Informationen zum Status des ABAC-Features für Azure Storage finden Sie unter Status der Bedingungsfeatures in Azure Storage.
Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Voraussetzungen
Informationen zu den Voraussetzungen für das Hinzufügen oder Bearbeiten von Rollenzuweisungsbedingungen finden Sie unter Voraussetzungen für Bedingungen.
Zusammenfassung der Beispiele in diesem Artikel
Verwenden Sie die folgende Tabelle, um schnell ein Beispiel zu finden, das zu Ihrem ABAC-Szenario passt. Die Tabelle enthält eine kurze Beschreibung des Szenarios sowie eine Liste der Attribute, die im Beispiel verwendet werden, nach Quelle (Umgebung, Prinzipal, Anforderung und Ressource).
| Beispiel | Umwelt | Prinzipal | Anforderung | Ressource |
|---|---|---|---|---|
| Anzeigen oder Löschen von Nachrichten in einer benannten Warteschlange | Warteschlangenname | |||
| Zulassen des Vorschauzugriffs auf Nachrichten nach einem bestimmten Datum und einer bestimmten Uhrzeit | UtcNow | Warteschlangenname | ||
| Zugriff auf Nachrichten in bestimmten Warteschlangen aus einem bestimmten Subnetz zulassen | Subnetz | Warteschlangenname | ||
| Beispiel für Prinzipalattribute | Identifikationsnummer |
Warteschlangennamen
Dieser Abschnitt enthält Beispiele zum Einschränken des Zugriffs auf Nachrichten basierend auf dem Warteschlangennamen.
Beispiel: Anzeigen oder Löschen von Nachrichten in einer benannten Warteschlange
Diese Bedingung ermöglicht Benutzern das Anzeigen oder Löschen von Nachrichten in einer Warteschlange mit dem Namen Sample-Queue. Diese Bedingung ist nützlich für die Freigabe bestimmter Warteschlangendaten für andere Benutzer in einem Abonnement.
Wichtig
Damit diese Bedingung für einen Sicherheitsprinzipal wirksam ist, müssen Sie sie allen Rollenzuweisungen hinzufügen, welche die folgenden Aktionen enthalten: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read and Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete.
Die Bedingung kann einer Rollenzuweisung mithilfe des Azure-Portal oder von Azure PowerShell hinzugefügt werden. Das Portal verfügt über zwei Tools zum Erstellen von ABAC-Bedingungen: den visuellen Editor und den Code-Editor. Sie können zwischen den beiden Editoren im Azure-Portal wechseln, um Ihre Bedingungen in unterschiedlichen Ansichten anzuzeigen. Wechseln Sie zwischen der Registerkarte Visueller Editor und den Registerkarten des Code-Editors in diesem Artikel, um die Beispiele für Ihren bevorzugten Portal-Editor anzuzeigen.
Hinzufügen einer Aktion
Wählen Sie Aktion hinzufügen und dann Vorschaunachrichten und Nachrichten löschen aus:
Ausdruck erstellen
Verwenden Sie die Werte in der folgenden Tabelle, um den Ausdrucksteil der Bedingung zu erstellen:
| Einstellung | Wert |
|---|---|
| Attributquelle | Ressource |
| attribute | Warteschlangenname |
| Bediener | StringEquals |
| Wert | {queueName} |
Die folgende Abbildung zeigt die Bedingung, nachdem die Einstellungen in das Azure-Portal eingegeben wurden. Beachten Sie, dass Sie Ausdrücke gruppieren müssen, damit sie korrekt ausgewertet werden können.
Umgebungsattribute
Dieser Abschnitt enthält Beispiele zum Einschränken des Zugriffs auf Warteschlangennachrichten anhand der Netzwerkumgebung oder des aktuellen Datums und der aktuellen Uhrzeit.
Beispiel: Zulassen des Vorschauzugriffs auf Nachrichten nach einem bestimmten Datum und einer bestimmten Uhrzeit
Diese Bedingung ermöglicht den Vorschauzugriff auf die Warteschlange sample-queue erst nach 1:00 Uhr am 1. Mai 2023 Universal Coordinated Time (UTC).
Wichtig
Damit diese Bedingung für Prinzipale mit mehreren Rollenzuweisungen wirksam wird, müssen Sie diese Bedingung allen Rollenzuweisungen hinzufügen, welche die folgende Aktion enthält: Microsoft.Storage/storageAccounts/queueServices/queues/messages/read.
Die Bedingung kann einer Rollenzuweisung mithilfe des Azure-Portal oder von Azure PowerShell hinzugefügt werden. Das Portal verfügt über zwei Tools zum Erstellen von ABAC-Bedingungen: den visuellen Editor und den Code-Editor. Sie können zwischen den beiden Editoren im Azure-Portal wechseln, um Ihre Bedingungen in unterschiedlichen Ansichten anzuzeigen. Wechseln Sie zwischen der Registerkarte Visueller Editor und den Registerkarten des Code-Editors unten, um die Beispiele für Ihren bevorzugten Portal-Editor anzuzeigen.
Hinzufügen einer Aktion
Wählen Sie Aktion hinzufügen und dann Vorschaunachrichten aus:
Ausdruck erstellen
Verwenden Sie die Werte in der folgenden Tabelle, um den Ausdrucksteil der Bedingung zu erstellen:
| Einstellung | Wert |
|---|---|
| Attributquelle | Ressource |
| attribute | Warteschlangenname |
| Bediener | StringEquals |
| Wert | {warteschlangenname} |
| Logischer Operator | 'UND' |
| Attributquelle | Umgebung |
| attribute | UtcNow |
| Bediener | DateTimeGreaterThan |
| Wert | 2023-05-01T13:00:00.000Z |
Die folgende Abbildung zeigt die Bedingung, nachdem die Einstellungen in das Azure-Portal eingegeben wurden. Beachten Sie, dass Sie Ausdrücke gruppieren müssen, damit sie korrekt ausgewertet werden können.
Beispiel: Zulassen des Zugriffs auf Nachrichten in bestimmten Warteschlangen aus einem bestimmten Subnetz
Diese Bedingung ermöglicht den Put- oder Updatezugriff auf Nachrichten in sample-queue nur über Subnetz default im virtuellen Netzwerk sample-vnet.
Wichtig
Damit diese Bedingung für Prinzipale mit mehreren Rollenzuweisungen wirksam wird, müssen Sie diese Bedingung allen Rollenzuweisungen hinzufügen, die eine der folgenden Aktionen enthalten: Microsoft.Storage/storageAccounts/queueServices/queues/messages/write.
Die Bedingung kann einer Rollenzuweisung mithilfe des Azure-Portal oder von Azure PowerShell hinzugefügt werden. Das Portal verfügt über zwei Tools zum Erstellen von ABAC-Bedingungen: den visuellen Editor und den Code-Editor. Sie können zwischen den beiden Editoren im Azure-Portal wechseln, um Ihre Bedingungen in unterschiedlichen Ansichten anzuzeigen. Wechseln Sie zwischen der Registerkarte Visueller Editor und den Registerkarten des Code-Editors unten, um die Beispiele für Ihren bevorzugten Portal-Editor anzuzeigen.
Wählen Sie Aktion hinzufügen und dann Nachricht hinzufügen oder aktualisieren aus:
Ausdruck erstellen
Verwenden Sie die Werte in der folgenden Tabelle, um den Ausdrucksteil der Bedingung zu erstellen:
| Einstellung | Wert |
|---|---|
| Attributquelle | Ressource |
| attribute | Warteschlangenname |
| Bediener | StringEquals |
| Wert | container1 |
| Logischer Operator | 'UND' |
| Attributquelle | Umgebung |
| attribute | Subnetz |
| Bediener | StringEqualsIgnoreCase |
| Wert | /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/sample-vnet/subnets/default |
Die folgende Abbildung zeigt die Bedingung, nachdem die Einstellungen in das Azure-Portal eingegeben wurden. Beachten Sie, dass Sie Ausdrücke gruppieren müssen, damit sie korrekt ausgewertet werden können.
Prinzipalattribute
Ein vollständiges Beispiel für die Verwendung von Prinzipalattributen für den Zugriff auf Blobdaten finden Sie unter Zulassen des Lesezugriffs auf Blobs basierend auf Tags und benutzerdefinierten Sicherheitsattributen.
Nächste Schritte
- Aktionen und Attribute für Azure-Rollenzuweisungsbedingungen für Azure Queue Storage
- Tutorial: Hinzufügen einer Rollenzuweisungsbedingung zum Einschränken des Zugriffs auf Blobs mit dem Azure-Portal
- Format und Syntax von Azure-Rollenzuweisungsbedingungen
- Problembehandlung: Bedingungen für die Azure-Rollenzuweisung