Ejemplo de condiciones de asignación de roles de Azure para Blob Storage

Artículo
04/11/2024

En este artículo se enumeran algunos ejemplos de condiciones de asignación de roles para controlar el acceso a Azure Blob Storage.

Importante

Actualmente, el control de acceso basado en atributos de Azure (Azure ABAC) está disponible con carácter general para controlar el acceso solo a Azure Blob Storage, Azure Data Lake Storage Gen2 y Azure Queues mediante los atributos request, resource, environment y principal en el nivel de rendimiento de las cuentas de almacenamiento premium y estándar. Actualmente, el atributo de recurso de metadatos del contenedor y el atributo de solicitud de inclusión de blobs de lista se encuentran en VERSIÓN PRELIMINAR. Para información completa sobre el estado de las características de ABAC para Azure Storage, consulte Estado de las características de condición en Azure Storage.

Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Requisitos previos

Para obtener información sobre los requisitos previos para agregar o editar condiciones de asignación de roles, consulte Requisitos previos de las condiciones.

Resumen de ejemplos de este artículo

Use la tabla siguiente para buscar rápidamente un ejemplo que se adapte a su escenario de ABAC. La tabla incluye una breve descripción del escenario, además de una lista de atributos usados en el ejemplo por origen (entorno, entidad de seguridad, solicitud y recurso).

Ejemplo	Entorno	Principal	Solicitud	Resource
Lectura de blobs con una etiqueta de índice de blobs				etiquetas
Los nuevos blobs deben incluir una etiqueta de índice de blobs			etiquetas
Los blobs existentes deben tener claves de etiqueta de índice de blobs			etiquetas
Los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores			etiquetas
Lectura, escritura o eliminación de blobs en contenedores con nombre				container name
Lectura de blobs en contenedores con nombre con una ruta de acceso				nombre de contenedor ruta de blobs
Lectura o enumeración de blobs en contenedores con nombre con una ruta de acceso			prefijo de blobs	nombre de contenedor ruta de blobs
Escritura de blobs en contenedores con nombre con una ruta de acceso				nombre de contenedor ruta de blobs
Lectura de blobs con una etiqueta de índice de blobs y una ruta de acceso				etiquetas ruta de blobs
Lectura de blobs en el contenedor con metadatos específicos				metadatos del contenedor
Escritura o eliminación de blobs en un contenedor con metadatos específicos				metadatos del contenedor
Lectura de únicamente las versiones de blobs actuales				isCurrentVersion
Lectura de las versiones de blobs actuales y una versión de blob específica			versionId	isCurrentVersion
Eliminación de las versiones antiguas de los blobs			versionId
Lectura de las versiones de blobs actuales y las instantáneas de los blobs			instantánea	isCurrentVersion
Permitir que la operación de enumeración de blobs incluya metadatos de blobs, instantáneas o versiones			la lista de blobs incluye
Restricción de la operación de enumeración de blobs para no incluir metadatos de blobs			la lista de blobs incluye
Lectura de solo cuentas de almacenamiento con un espacio de nombres jerárquico habilitado				isHnsEnabled
Lectura de blobs con ámbitos de cifrado específicos				Nombre del ámbito de cifrado
Lectura o escritura de blobs en una cuenta de almacenamiento con nombre con un ámbito de cifrado específico				Nombre de la cuenta de almacenamiento Nombre del ámbito de cifrado
Lectura o escritura de blobs en función de las etiquetas de índice de blobs y atributos de seguridad personalizados		ID	etiquetas	etiquetas
Lectura de blobs en función de etiquetas de índice de blobs y atributos de seguridad personalizados de varios valores		ID		etiquetas
Permitir el acceso de lectura a blobs después de una fecha y hora específicas	UtcNow			container name
Permitir el acceso a blobs en contenedores específicos desde una subred específica	Subnet			container name
Requerir acceso de vínculo privado para leer blobs con alta confidencialidad	isPrivateLink			etiquetas
Permitir el acceso a un contenedor solo desde un punto de conexión privado específico	Punto de conexión privado			container name
Ejemplo: Permitir el acceso de lectura a datos de blobs altamente confidenciales solo desde un punto de conexión privado específico y por los usuarios etiquetados para el acceso	Punto de conexión privado	ID		etiquetas

Etiquetas de índice de blobs

En esta sección se incluyen ejemplos con etiquetas de índice de blobs.

Importante

Aunque actualmente se admite la suboperación Read content from a blob with tag conditions para la compatibilidad con las condiciones implementadas durante la versión preliminar de la característica ABAC, ha quedado en desuso y Microsoft recomienda usar la acción Read a blob en su lugar.

Al configurar las condiciones de ABAC en Azure Portal, es posible que vea EN DESUSO: Leer contenido de un blob con condiciones de etiqueta. Microsoft recomienda quitar la operación y reemplazarla por la acción Read a blob.

Si va a crear su propia condición en la que desea restringir el acceso de lectura por condiciones de etiqueta, consulte Ejemplo: Lectura de blobs con una etiqueta de índice de blobs.

Ejemplo: lectura de blobs con una etiqueta de índice de blobs

Esta condición permite a los usuarios leer blobs con una clave de etiqueta de índice de blob de Project y un valor de etiqueta de Cascade. No se permiten los intentos de acceso a los blobs sin esta etiqueta clave-valor.

Para que esta condición sea efectiva para una entidad de seguridad, debe agregarla a todas las asignaciones de roles que incluyan las siguientes acciones:

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a blobs con una etiqueta de índice de blobs.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante el editor visual de Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob
Origen del atributo	-resource
Atributo	Etiquetas de índice de blobs [Valores en clave]
Clave	{keyName}
Operator	StringEquals
Value	{keyValue}

Para agregar la condición con el editor de código, copie el ejemplo de código de condición y péguelo en el editor de código. Después de escribir el código, vuelva al editor visual para validarlo.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

En este ejemplo, la condición restringe la acción de lectura, excepto cuando la suboperación es Blob.List. Esto significa que se permite una operación de lista de blobs, pero todas las demás acciones de lectura se evalúan con respecto a la expresión que comprueba la etiqueta de índice de blobs.

Si un usuario intenta realizar una acción en el rol asignado que no es una acción restringida por la condición, !(ActionMatches) se evalúa como true y la condición general se evalúa como true. Este resultado permite que la acción se realice.

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Ejemplo: los nuevos blobs deben incluir una etiqueta de índice de blobs

Esta condición requiere que los nuevos blobs incluyan una clave de etiqueta de índice de blob de Project y un valor de etiqueta de Cascade.

Hay dos acciones que le permiten crear nuevos blobs, por lo que debe tener como destino ambas. Debe agregar esta condición a todas las asignaciones de roles que incluyan una de las acciones siguientes:

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra que los nuevos blobs deben incluir una etiqueta de índice de blobs.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Escritura en un blob con etiquetas de índice de blobs Escribir en un blob con etiquetas de índice de blobs
Origen del atributo	Solicitud
Atributo	Etiquetas de índice de blobs [Valores en clave]
Clave	{keyName}
Operator	StringEquals
Value	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Ejemplo: los blobs existentes deben tener claves de etiqueta de índice de blobs

Esta condición requiere que los blobs existentes se etiqueten con al menos una de las claves de etiqueta de índice de blobs permitidas: Project o Program. Esta condición es útil para agregar gobernanza a los blobs existentes.

Hay dos acciones que le permiten actualizar etiquetas en blobs existentes, por lo que debe tener como destino ambas. Debe agregar esta condición a todas las asignaciones de roles que incluyan una de las acciones siguientes:

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra que los blobs existentes deben tener claves de etiqueta de índice de blobs.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Escritura en un blob con etiquetas de índice de blobs Escritura de etiquetas de índice de blobs
Origen del atributo	Solicitud
Atributo	Etiquetas de índice de blobs [claves]
Operador	ForAllOfAnyValues:StringEquals
Value	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Ejemplo: los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores

Esta condición requiere que todos los blobs existentes tengan una clave de etiqueta de índice de blobs de Project y valores de etiqueta de Cascade, Baker o Skagit. Esta condición es útil para agregar gobernanza a los blobs existentes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra que los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Escritura en un blob con etiquetas de índice de blobs Escritura de etiquetas de índice de blobs
Origen del atributo	Solicitud
Atributo	Etiquetas de índice de blobs [claves]
Operador	ForAnyOfAnyValues:StringEquals
Value	{keyName}
Operator	And
Expresión 2
Origen del atributo	Solicitud
Atributo	Etiquetas de índice de blobs [Valores en clave]
Clave	{keyName}
Operator	ForAllOfAnyValues:StringEquals
Value	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Nombres o rutas del contenedor de blobs

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función del nombre del contenedor o la ruta de acceso del blob.

Ejemplo: lectura, escritura o eliminación de blobs en contenedores con nombre

Esta condición permite a los usuarios leer, escribir o eliminar blobs en contenedores de almacenamiento denominados blobs-example-container. Esta condición es útil para compartir contenedores de almacenamiento específicos con otros usuarios de una suscripción.

Hay cinco acciones para leer, escribir y eliminar blobs existentes. Debe agregar esta condición a todas las asignaciones de roles que incluyan una de las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento. Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Las suboperaciones no se usan en esta condición porque la suboperación solo se necesita cuando se crean condiciones basadas en etiquetas.

Diagrama de la condición que muestra blobs de lectura, escritura o eliminación en contenedores con nombre.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Eliminar un blob Leer un blob Escribir en un blob Crear un blob o una instantánea, o anexar datos Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	-resource
Atributo	Nombre del contenedor
Operador	StringEquals
Value	{containerName}

Propietario de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Ejemplo: lectura de blobs en contenedores con nombre con una ruta de acceso

Esta condición permite el acceso de lectura a contenedores de almacenamiento denominados blobs-example-container con una ruta de acceso de blob de solo readonly/*. Esta condición es útil para compartir partes específicas de contenedores de almacenamiento para el acceso de lectura con otros usuarios de la suscripción.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento. Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Diagrama de la condición que muestra el acceso de lectura a blobs en contenedores con nombre con una ruta de acceso.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	-resource
Atributo	Nombre del contenedor
Operador	StringEquals
Value	{containerName}
Expresión 2
Operator	And
Origen del atributo	-resource
Atributo	Ruta del blob
Operador	StringLike
Value	{pathString}

Propietario de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Lector de datos de blobs de almacenamiento, colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Ejemplo: lectura o enumeración de blobs en contenedores con nombre con una ruta de acceso

Esta condición permite el acceso de lectura y también acceso de enumeración a contenedores de almacenamiento denominados blobs-example-container con una ruta de acceso de blob de solo readonly/*. La condición 1 se aplica a las acciones de lectura, excepto los blobs de lista. La condición 2 se aplica a los blobs de lista. Esta condición es útil para compartir partes específicas de contenedores de almacenamiento para el acceso de lectura o enumeración con otros usuarios de la suscripción.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento. Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Diagrama de la condición que muestra el acceso de lectura y enumeración a blobs en contenedores con nombre con una ruta de acceso.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Nota

Azure Portal usa el prefijo ='' para enumerar los blobs del directorio raíz del contenedor. Una vez agregada la condición con la operación de blobs de enumeración mediante el prefijo StringStartsWith "readonly/", los usuarios de destino no podrán enumerar blobs del directorio raíz del contenedor en Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	-resource
Atributo	Nombre del contenedor
Operador	StringEquals
Value	{containerName}
Expresión 2
Operator	And
Origen del atributo	-resource
Atributo	Ruta del blob
Operador	StringStartsWith
Value	{pathString}

Condición 2	Configuración
Acciones	Enumeración de blobs Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	-resource
Atributo	Nombre del contenedor
Operador	StringEquals
Value	{containerName}
Expresión 2
Operator	And
Origen del atributo	Solicitud
Atributo	Prefijo de blob
Operador	StringStartsWith
Value	{pathString}

Propietario de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Lector de datos de blobs de almacenamiento, colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: escritura de blobs en contenedores con nombre con una ruta de acceso

Esta condición permite a un partner (un invitado de Microsoft Entra) colocar archivos en contenedores de almacenamiento denominados Contosocorp con una ruta de acceso de uploads/contoso/*. Esta condición es útil para permitir que otros usuarios coloquen datos en contenedores de almacenamiento.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento. Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Diagrama de la condición que muestra el acceso de escritura a blobs en contenedores con nombre con una ruta de acceso.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Escribir en un blob Crear un blob o una instantánea, o anexar datos Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	-resource
Atributo	Nombre del contenedor
Operador	StringEquals
Value	{containerName}
Expresión 2
Operator	And
Origen del atributo	-resource
Atributo	Ruta del blob
Operador	StringLike
Value	{pathString}

Propietario de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Ejemplo: lectura de blobs con una etiqueta de índice de blobs y una ruta de acceso

Esta condición permite a un usuario leer blobs con una clave de etiqueta de índice de blob de Program, un valor de Alpine y una ruta de acceso de blob de registros*. La ruta de acceso de blob de los registros* también incluye el nombre del blob.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a blobs con una etiqueta de índice de blobs y una ruta de acceso.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob
Origen del atributo	-resource
Atributo	Etiquetas de índice de blobs [Valores en clave]
Clave	{keyName}
Operator	StringEquals
Value	{keyValue}

Condición 2	Configuración
Acciones	Leer un blob
Origen del atributo	-resource
Atributo	Ruta del blob
Operador	StringLike
Value	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aquí se muestra cómo probar esta condición.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadatos del contenedor de blobs

Ejemplo: Lectura de blobs en el contenedor con metadatos específicos

Esta condición permite a los usuarios leer blobs en contenedores de blobs con un par de clave y valor de metadatos específico.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob
Origen del atributo	-resource
Attribute	Metadatos del contenedor
Operador	StringEquals
Value	{containerName}

Lector de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Ejemplo: Escritura o eliminación de blobs en el contenedor con metadatos específicos

Esta condición permite a los usuarios escribir o eliminar blobs en contenedores de blobs con un par de clave y valor de metadatos específico.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Escribir en un blob Eliminar un blob
Origen del atributo	-resource
Attribute	Metadatos del contenedor
Operador	StringEquals
Value	{containerName}

Colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Aquí se muestra cómo agregar esta condición mediante Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Versiones o instantáneas de blob

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función de la versión o instantánea del blob.

Ejemplo: lectura de únicamente las versiones de blobs actuales

Esta condición permite a un usuario leer solo las versiones de blobs actuales. El usuario no puede leer otras versiones de blob.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura solo a la versión actual de blobs.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	-resource
Atributo	Es la versión actual
Operador	BoolEquals
Value	True

Propietario de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Lector de datos de blobs de almacenamiento, colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: lectura de las versiones de blobs actuales y una versión de blob específica

Esta condición permite al usuario leer las versiones de blobs actuales, así como leer blobs con un identificador de versión de 2022-06-01T23:38:32.8883645Z. El usuario no puede leer otras versiones de blob. El atributo Id. de versión solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagrama de la condición que muestra el acceso de lectura a una versión de blobs específica.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob
Origen del atributo	Solicitud
Atributo	Id. de la versión
Operador	DateTimeEquals
Value	<blobVersionId>
Expresión 2
Operator	Or
Origen del atributo	-resource
Atributo	Es la versión actual
Operador	BoolEquals
Value	True

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: eliminación de las versiones antiguas de los blobs

Esta condición permite a un usuario eliminar versiones de un blob anterior al 01/06/2022 para realizar la limpieza. El atributo Id. de versión solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagrama de la condición que muestra el acceso de eliminación a las versiones anteriores de blobs.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Eliminar un blob Eliminar una versión de un blob
Origen del atributo	Solicitud
Atributo	Id. de la versión
Operador	DateTimeLessThan
Value	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: lectura de las versiones de blobs actuales y las instantáneas de los blobs

Esta condición permite a un usuario leer las versiones de blobs actuales y cualquier instantánea de blob. El atributo Id. de versión solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado. El atributo Snapshot está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado y actualmente en versión preliminar para las cuentas de almacenamiento en las que está habilitado el espacio de nombres jerárquico.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a las versiones actuales de blobs y a cualquier instantánea de blobs.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	Solicitud
Atributo	Instantánea
Exists	Activada
Expresión 2
Operator	Or
Origen del atributo	-resource
Atributo	Es la versión actual
Operador	BoolEquals
Value	True

Propietario de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Lector de datos de blobs de almacenamiento, colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: Permitir la operación de enumeración de blobs para incluir metadatos de blobs, instantáneas o versiones

Esta condición permite a un usuario enumerar blobs en un contenedor e incluir metadatos, instantáneas e información de la versión. El atributo La lista de blobs incluye solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Nota:

La lista de blobs incluye es un atributo de solicitud y funciona al permitir o restringir valores en el parámetro include al llamar a la operación Enumerar blobs. Los valores del parámetro include se comparan con los valores especificados en la condición mediante operadores de comparación entre productos. Si la comparación se evalúa como true, se permite la solicitud List Blobs. Si la comparación se evalúa como false, se deniega la solicitud List Blobs.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Enumeración de blobs
Origen del atributo	Solicitud
Attribute	La lista de blobs incluye
Operador	ForAllOfAnyValues:StringEqualsIgnoreCase
Valor	{'metadata', 'snapshots', 'versions'}

Lector de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

En este ejemplo, la condición restringe la acción de lectura, excepto cuando la suboperación es Blob.List. Esto significa que una operación Lista de blobs se evalúa con respecto a la expresión que comprueba los valores include, pero todas las demás acciones de lectura están permitidas.

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: Restricción de la operación de enumeración de blobs para que no incluya metadatos de blob

Esta condición restringe a un usuario la enumeración de blobs cuando los metadatos se incluyen en la solicitud. El atributo La lista de blobs incluye solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Nota:

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Enumeración de blobs
Origen del atributo	Solicitud
Attribute	La lista de blobs incluye
Operador	ForAllOfAllValues:StringNotEquals
Valor	{'metadata'}

Lector de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Espacio de nombres jerárquico

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función de si el espacio de nombres jerárquico está habilitado para una cuenta de almacenamiento.

Ejemplo: lectura de solo cuentas de almacenamiento con un espacio de nombres jerárquico habilitado

Esta condición permite que un usuario solo lea blobs en cuentas de almacenamiento con el espacio de nombres jerárquico habilitado. Esta condición solo se aplica en el ámbito del grupo de recursos o superior.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a las cuentas de almacenamiento con un espacio de nombres jerárquico habilitado.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo	-resource
Atributo	Está habilitado el espacio de nombres jerárquico
Operador	BoolEquals
Value	True

Propietario de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Lector de datos de blobs de almacenamiento, colaborador de datos de blobs de almacenamiento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ámbito de cifrado

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos con un ámbito de cifrado aprobado.

Ejemplo: lectura de blobs con ámbitos de cifrado específicos

Esta condición permite a un usuario leer blobs cifrados con el ámbito de cifrado validScope1 o validScope2.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a blobs con un ámbito de cifrado validScope1 o validScope2.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob
Origen del atributo	-resource
Atributo	Nombre del ámbito de cifrado
Operador	ForAnyOfAnyValues:StringEquals
Value	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: lectura o escritura de blobs en una cuenta de almacenamiento con nombre con un ámbito de cifrado específico

Esta condición permite a un usuario leer o escribir blobs en una cuenta de almacenamiento denominada sampleaccount y cifrada con el ámbito de cifrado ScopeCustomKey1. Si los blobs no están cifrados o descifrados con ScopeCustomKey1, la solicitud devuelve prohibido.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Nota

Dado que los ámbitos de cifrado para diferentes cuentas de almacenamiento pueden ser diferentes, se recomienda usar el atributo storageAccounts:name con el atributo encryptionScopes:name para restringir el ámbito de cifrado específico que se va a permitir.

Diagrama de la condición que muestra el acceso de lectura o escritura a blobs en la cuenta de almacenamiento sampleaccount con un ámbito de cifrado ScopeCustomKey1.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Leer un blob Escribir en un blob Crear un blob o una instantánea, o anexar datos
Origen del atributo	-resource
Atributo	Nombre de cuenta
Operador	StringEquals
Value	<accountName>
Expresión 2
Operator	And
Origen del atributo	-resource
Atributo	Nombre del ámbito de cifrado
Operador	ForAnyOfAnyValues:StringEquals
Value	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Atributos de entidad de seguridad

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a los objetos en función de las entidades de seguridad personalizadas.

Ejemplo: lectura o escritura de blobs basándose en etiquetas de índice de blobs y atributos de seguridad personalizados

Esta condición permite el acceso de lectura y escritura a blobs si el usuario tiene un atributo de seguridad personalizado que coincide con la etiqueta de índice de blobs.

Por ejemplo, si Brenda tiene el atributo Project=Baker, solo puede leer y escribir blobs con la etiqueta de índice de blobs Project=Baker. De forma similar, Chandra solo puede leer y escribir blobs con Project=Cascade.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Para más información, vea Permitir el acceso de lectura a blobs en función de etiquetas y atributos de seguridad personalizados.

Diagrama de la condición que muestra el acceso de lectura o escritura a blobs basado en etiquetas de índice de blobs y atributos de seguridad personalizados.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Condiciones de Leer un blob
Origen del atributo	Principal
Atributo	<attributeset>_<key>
Operator	StringEquals
Opción	Atributo
Origen del atributo	-resource
Atributo	Etiquetas de índice de blobs [Valores en clave]
Clave	<key>

Condición 2	Configuración
Acciones	Escritura en un blob con etiquetas de índice de blobs Escribir en un blob con etiquetas de índice de blobs
Origen del atributo	Principal
Atributo	<attributeset>_<key>
Operator	StringEquals
Opción	Atributo
Origen del atributo	Solicitud
Atributo	Etiquetas de índice de blobs [Valores en clave]
Clave	<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Ejemplo: lectura de blobs basándose en etiquetas de índice de blobs y atributos de seguridad personalizados de varios valores

Esta condición permite el acceso de lectura a blobs si el usuario tiene un atributo de seguridad personalizado con cualquier valor que coincide con la etiqueta de índice de blobs.

Por ejemplo, si Chandra tiene el atributo Project con los valores Baker y Cascade, solo puede leer blobs con la etiqueta de índice de blobs Project=Baker o Project=Cascade.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Para más información, vea Permitir el acceso de lectura a blobs en función de etiquetas y atributos de seguridad personalizados.

Diagrama de la condición que muestra el acceso de lectura a blobs basado en etiquetas de índice de blobs y atributos de seguridad personalizados de varios valores.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1	Configuración
Acciones	Condiciones de Leer un blob
Origen del atributo	-resource
Atributo	Etiquetas de índice de blobs [Valores en clave]
Clave	<key>
Operator	ForAnyOfAnyValues:StringEquals
Opción	Atributo
Origen del atributo	Principal
Atributo	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

En este ejemplo, la condición restringe la acción de lectura, excepto cuando la suboperación es Blob.List. Esto significa que se permite una operación de lista de blobs, pero todas las demás acciones de lectura se evalúan aún más en la expresión que comprueba las etiquetas de índice de blobs y los atributos de seguridad personalizados.

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

Atributos de entorno

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función del entorno de red o de la fecha y hora actuales.

Ejemplo: Permitir el acceso de lectura a blobs después de una fecha y hora específicas

Esta condición permite el acceso de lectura al contenedor de blobs container1 solo después de la 1 p. m. el 1 de mayo de 2023 (UTC).

Hay dos posibles acciones para leer blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Agregar una acción

Seleccione Agregar acción y, luego, seleccione solo la suboperación Leer un blob, como se muestra en la tabla siguiente.

Acción	Suboperación
Todas las operaciones de lectura	Leer un blob

No seleccione la acción Todas las operaciones de lectura de nivel superior o cualquier otra suboperación, como se muestra en la imagen siguiente:

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Configuración Valor

Origen del atributo -resource

Atributo Nombre del contenedor

Operador StringEquals

Value container1

Operador lógico "AND"

Origen del atributo Entorno

Atributo UtcNow

Operador DateTimeGreaterThan

Value 2023-05-01T13:00:00.000Z

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

Para agregar la condición con el editor de código, copie el siguiente ejemplo de código de condición y péguelo en el editor de código. Después de escribir el código, vuelva al editor visual para validarlo.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

A continuación, se muestra cómo agregar esta condición para el rol Lector de datos de Storage Blob mediante Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Ejemplo: Permitir el acceso a blobs en contenedores específicos desde una subred específica

Esta condición permite el acceso de lectura, escritura, adición y eliminación a blobs solo desde la container1subred default de la red virtual virtualnetwork1. Para usar el atributo Subred de en este ejemplo, la subred debe tener habilitados puntos de conexión de servicio para Azure Storage.

Hay cinco posibles acciones para la lectura, escritura, agregación y eliminación de acceso en blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Agregar una acción

Seleccione Agregar acción y, después, seleccione solo las acciones de nivel superior que se muestran en la tabla siguiente.

Acción	Suboperación
Todas las operaciones de lectura	n/a
Escribir en un blob	n/a
Crear un blob o una instantánea, o anexar datos	n/a
Eliminar un blob	n/a

No seleccione ninguna suboperación individual, como se muestra en la imagen siguiente:

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Configuración Valor

Origen del atributo -resource

Atributo Nombre del contenedor

Operador StringEquals

Value container1

Operador lógico "AND"

Origen del atributo Entorno

Atributo Subred

Operador StringEqualsIgnoreCase

Value /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

A continuación, se muestra cómo agregar esta condición para el rol Colaborador de datos de Storage Blob mediante Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Ejemplo: Requerir acceso de vínculo privado para leer blobs con alta confidencialidad

Esta condición requiere solicitudes para leer blobs en los que la confidencialidad de la etiqueta de índice de blobs necesita un valor de high para realizarse a través de un vínculo privado (cualquier vínculo privado). Esto significa que no se permitirá ningún intento de leer blobs altamente confidenciales de la red pública de Internet. Los usuarios pueden leer blobs de la red pública de Internet que tienen la confidencialidad establecida en algún valor distinto de high.

A continuación, se muestra una tabla de verdad para esta condición de ejemplo de ABAC:

Acción	Sensibilidad	Private Link	Acceso
Leer un blob	high	Sí	Permitidas
Leer un blob	high	No	No permitido
Leer un blob	NO alta	Sí	Permitida
Leer un blob	NO alta	No	Permitida

Acción Notas

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Esta es la configuración para agregar esta condición con el editor de condiciones visual de Azure Portal.

Agregar una acción

Seleccione Agregar acción y, luego, seleccione solo la suboperación Leer un blob, como se muestra en la tabla siguiente.

Acción	Suboperación
Todas las operaciones de lectura	Leer un blob

No seleccione la acción Todas las operaciones de lectura de nivel superior ni ninguna suboperación, como se muestra en la imagen siguiente:

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Grupo Configuración Value

Grupo 1

Origen del atributo -resource

Atributo Etiquetas de índice de blobs [Valores en clave]

Clave sensitivity

Operador StringEquals

Value high

Operador lógico "AND"

Origen del atributo Entorno

Atributo Es un vínculo privado

Operador BoolEquals

Value True

Fin del grupo 1

Operador lógico "OR"

Origen del atributo -resource

Atributo Etiquetas de índice de blobs [Valores en clave]

Clave sensitivity

Operador StringNotEquals

Value high

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

A continuación, se muestra cómo agregar esta condición para el rol Lector de datos de Storage Blob mediante Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Ejemplo: Permitir el acceso a un contenedor solo desde un punto de conexión privado específico

Esta condición requiere que todas las operaciones de lectura, escritura, adición y eliminación de blobs en un contenedor de almacenamiento denominado container1 se realicen a través de un punto de conexión privado denominado privateendpoint1. Para todos los demás contenedores no denominados container1, no es necesario tener acceso a través del punto de conexión privado.

Hay cinco acciones posibles para la lectura, escritura y eliminación de blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción	Notas
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento. Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Esta es la configuración para agregar esta condición con el editor de condiciones visual de Azure Portal.

Agregar una acción

Seleccione Agregar acción y, después, seleccione solo las acciones de nivel superior que se muestran en la tabla siguiente.

Acción	Suboperación
Todas las operaciones de lectura	n/a
Escribir en un blob	n/a
Crear un blob o una instantánea, o anexar datos	n/a
Eliminar un blob	n/a

No seleccione ninguna suboperación individual, como se muestra en la imagen siguiente:

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Grupo Configuración Value

Grupo 1

Origen del atributo -resource

Atributo Nombre del contenedor

Operador StringEquals

Value container1

Operador lógico "AND"

Origen del atributo Entorno

Atributo Punto de conexión privado

Operador StringEqualsIgnoreCase

Value /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Fin del grupo 1

Operador lógico "OR"

Origen del atributo -resource

Atributo Nombre del contenedor

Operador StringNotEquals

Value container1

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

Para agregar la condición mediante el editor de código, elija uno de los siguientes ejemplos de código de condición, en función del rol asociado a la asignación. Después de escribir el código, vuelva al editor visual para validarlo.

Propietario de datos de Storage Blob:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Colaborador de datos de Storage Blob:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

A continuación, se muestra cómo agregar esta condición para el rol Colaborador de datos de Storage Blob mediante Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Ejemplo: Permitir el acceso de lectura a datos de blobs altamente confidenciales solo desde un punto de conexión privado específico y por los usuarios etiquetados para el acceso

Esta condición requiere que los blobs con una etiqueta de índice de confidencialidad establecida en high solo puedan ser leídos por los usuarios que tengan un valor coincidente en su atributo de seguridad de confidencialidad. Además, se debe tener acceso a ellos a través de un punto de conexión privado denominado privateendpoint1. Los blobs que tienen un valor diferente para la etiqueta de confidencialidad pueden ser accesibles a través de otros puntos de conexión o a través de Internet.

Acción Notas

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Esta es la configuración para agregar esta condición con el editor de condiciones visual de Azure Portal.

Agregar una acción

Seleccione Agregar acción y, luego, seleccione solo la suboperación Leer un blob, como se muestra en la tabla siguiente.

Acción	Suboperación
Todas las operaciones de lectura	Leer un blob

No seleccione la acción de nivel superior, como se muestra en la siguiente imagen:

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Grupo	Configuración	Value
Grupo 1
	Origen del atributo	Principal
	Atributo	<attributeset>_<key>
	Operator	StringEquals
	Opción	Atributo
	Operador lógico	"AND"
	Origen del atributo	-resource
	Atributo	Etiquetas de índice de blobs [Valores en clave]
	Clave	<key>
	Operador lógico	"AND"
	Origen del atributo	Entorno
	Atributo	Punto de conexión privado
	Operador	StringEqualsIgnoreCase
	Value	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Fin del grupo 1
	Operador lógico	"OR"
	Origen del atributo	-resource
	Atributo	Etiquetas de índice de blobs [Valores en clave]
	Clave	`sensitivity`
	Operador	StringNotEquals
	Value	`high`

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Para más información sobre cómo se da formato a las condiciones y se evalúan, vea Formato de condiciones.

A continuación, se muestra cómo agregar esta condición para el rol Lector de datos de Storage Blob mediante Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Ejemplo de condiciones de asignación de roles de Azure para Blob Storage

Requisitos previos

Resumen de ejemplos de este artículo

Etiquetas de índice de blobs

Ejemplo: lectura de blobs con una etiqueta de índice de blobs

Ejemplo: los nuevos blobs deben incluir una etiqueta de índice de blobs

Ejemplo: los blobs existentes deben tener claves de etiqueta de índice de blobs

Ejemplo: los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores

Nombres o rutas del contenedor de blobs

Ejemplo: lectura, escritura o eliminación de blobs en contenedores con nombre

Ejemplo: lectura de blobs en contenedores con nombre con una ruta de acceso

Ejemplo: lectura o enumeración de blobs en contenedores con nombre con una ruta de acceso

Ejemplo: escritura de blobs en contenedores con nombre con una ruta de acceso

Ejemplo: lectura de blobs con una etiqueta de índice de blobs y una ruta de acceso

Metadatos del contenedor de blobs

Ejemplo: Lectura de blobs en el contenedor con metadatos específicos

Ejemplo: Escritura o eliminación de blobs en el contenedor con metadatos específicos

Versiones o instantáneas de blob

Ejemplo: lectura de únicamente las versiones de blobs actuales

Ejemplo: lectura de las versiones de blobs actuales y una versión de blob específica

Ejemplo: eliminación de las versiones antiguas de los blobs

Ejemplo: lectura de las versiones de blobs actuales y las instantáneas de los blobs

Ejemplo: Permitir la operación de enumeración de blobs para incluir metadatos de blobs, instantáneas o versiones

Ejemplo: Restricción de la operación de enumeración de blobs para que no incluya metadatos de blob

Espacio de nombres jerárquico

Ejemplo: lectura de solo cuentas de almacenamiento con un espacio de nombres jerárquico habilitado

Ámbito de cifrado

Ejemplo: lectura de blobs con ámbitos de cifrado específicos

Ejemplo: lectura o escritura de blobs en una cuenta de almacenamiento con nombre con un ámbito de cifrado específico

Atributos de entidad de seguridad

Ejemplo: lectura o escritura de blobs basándose en etiquetas de índice de blobs y atributos de seguridad personalizados

Ejemplo: lectura de blobs basándose en etiquetas de índice de blobs y atributos de seguridad personalizados de varios valores

Atributos de entorno

Ejemplo: Permitir el acceso de lectura a blobs después de una fecha y hora específicas

Agregar una acción

Compilación de expresión

Ejemplo: Permitir el acceso a blobs en contenedores específicos desde una subred específica

Agregar una acción

Compilación de expresión

Ejemplo: Requerir acceso de vínculo privado para leer blobs con alta confidencialidad

Agregar una acción

Compilación de expresión

Ejemplo: Permitir el acceso a un contenedor solo desde un punto de conexión privado específico

Agregar una acción

Compilación de expresión

Ejemplo: Permitir el acceso de lectura a datos de blobs altamente confidenciales solo desde un punto de conexión privado específico y por los usuarios etiquetados para el acceso

Agregar una acción

Compilación de expresión

Pasos siguientes

Recursos adicionales