Compartir a través de


Ejemplo de condiciones de asignación de roles de Azure para Blob Storage

En este artículo se enumeran algunos ejemplos de condiciones de asignación de roles para controlar el acceso a Azure Blob Storage.

Importante

Actualmente, el control de acceso basado en atributos de Azure (Azure ABAC) está disponible con carácter general para controlar el acceso solo a Azure Blob Storage, Azure Data Lake Storage Gen2 y Azure Queues mediante los atributos request, resource, environment y principal en el nivel de rendimiento de las cuentas de almacenamiento premium y estándar. Actualmente, el atributo de recurso de metadatos del contenedor y el atributo de solicitud de inclusión de blobs de lista se encuentran en VERSIÓN PRELIMINAR. Para información completa sobre el estado de las características de ABAC para Azure Storage, consulte Estado de las características de condición en Azure Storage.

Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Requisitos previos

Para obtener información sobre los requisitos previos para agregar o editar condiciones de asignación de roles, consulte Requisitos previos de las condiciones.

Resumen de ejemplos de este artículo

Use la tabla siguiente para buscar rápidamente un ejemplo que se adapte a su escenario de ABAC. La tabla incluye una breve descripción del escenario, además de una lista de atributos usados en el ejemplo por origen (entorno, entidad de seguridad, solicitud y recurso).

Ejemplo Entorno Principal Solicitud Resource
Lectura de blobs con una etiqueta de índice de blobs etiquetas
Los nuevos blobs deben incluir una etiqueta de índice de blobs etiquetas
Los blobs existentes deben tener claves de etiqueta de índice de blobs etiquetas
Los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores etiquetas
Lectura, escritura o eliminación de blobs en contenedores con nombre container name
Lectura de blobs en contenedores con nombre con una ruta de acceso nombre de contenedor
ruta de blobs
Lectura o enumeración de blobs en contenedores con nombre con una ruta de acceso prefijo de blobs nombre de contenedor
ruta de blobs
Escritura de blobs en contenedores con nombre con una ruta de acceso nombre de contenedor
ruta de blobs
Lectura de blobs con una etiqueta de índice de blobs y una ruta de acceso etiquetas
ruta de blobs
Lectura de blobs en el contenedor con metadatos específicos metadatos del contenedor
Escritura o eliminación de blobs en un contenedor con metadatos específicos metadatos del contenedor
Lectura de únicamente las versiones de blobs actuales isCurrentVersion
Lectura de las versiones de blobs actuales y una versión de blob específica versionId isCurrentVersion
Eliminación de las versiones antiguas de los blobs versionId
Lectura de las versiones de blobs actuales y las instantáneas de los blobs instantánea isCurrentVersion
Permitir que la operación de enumeración de blobs incluya metadatos de blobs, instantáneas o versiones la lista de blobs incluye
Restricción de la operación de enumeración de blobs para no incluir metadatos de blobs la lista de blobs incluye
Lectura de solo cuentas de almacenamiento con un espacio de nombres jerárquico habilitado isHnsEnabled
Lectura de blobs con ámbitos de cifrado específicos Nombre del ámbito de cifrado
Lectura o escritura de blobs en una cuenta de almacenamiento con nombre con un ámbito de cifrado específico Nombre de la cuenta de almacenamiento
Nombre del ámbito de cifrado
Lectura o escritura de blobs en función de las etiquetas de índice de blobs y atributos de seguridad personalizados ID etiquetas etiquetas
Lectura de blobs en función de etiquetas de índice de blobs y atributos de seguridad personalizados de varios valores ID etiquetas
Permitir el acceso de lectura a blobs después de una fecha y hora específicas UtcNow container name
Permitir el acceso a blobs en contenedores específicos desde una subred específica Subnet container name
Requerir acceso de vínculo privado para leer blobs con alta confidencialidad isPrivateLink etiquetas
Permitir el acceso a un contenedor solo desde un punto de conexión privado específico Punto de conexión privado container name
Ejemplo: Permitir el acceso de lectura a datos de blobs altamente confidenciales solo desde un punto de conexión privado específico y por los usuarios etiquetados para el acceso Punto de conexión privado ID etiquetas

Etiquetas de índice de blobs

En esta sección se incluyen ejemplos con etiquetas de índice de blobs.

Importante

Aunque actualmente se admite la suboperación Read content from a blob with tag conditions para la compatibilidad con las condiciones implementadas durante la versión preliminar de la característica ABAC, ha quedado en desuso y Microsoft recomienda usar la acción Read a blob en su lugar.

Al configurar las condiciones de ABAC en Azure Portal, es posible que vea EN DESUSO: Leer contenido de un blob con condiciones de etiqueta. Microsoft recomienda quitar la operación y reemplazarla por la acción Read a blob.

Si va a crear su propia condición en la que desea restringir el acceso de lectura por condiciones de etiqueta, consulte Ejemplo: Lectura de blobs con una etiqueta de índice de blobs.

Ejemplo: lectura de blobs con una etiqueta de índice de blobs

Esta condición permite a los usuarios leer blobs con una clave de etiqueta de índice de blob de Project y un valor de etiqueta de Cascade. No se permiten los intentos de acceso a los blobs sin esta etiqueta clave-valor.

Para que esta condición sea efectiva para una entidad de seguridad, debe agregarla a todas las asignaciones de roles que incluyan las siguientes acciones:

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a blobs con una etiqueta de índice de blobs.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante el editor visual de Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave {keyName}
Operator StringEquals
Value {keyValue}

Captura de pantalla del editor de condiciones en Azure Portal que muestra el acceso de lectura a blobs con una etiqueta de índice de blobs.

Ejemplo: los nuevos blobs deben incluir una etiqueta de índice de blobs

Esta condición requiere que los nuevos blobs incluyan una clave de etiqueta de índice de blob de Project y un valor de etiqueta de Cascade.

Hay dos acciones que le permiten crear nuevos blobs, por lo que debe tener como destino ambas. Debe agregar esta condición a todas las asignaciones de roles que incluyan una de las acciones siguientes:

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra que los nuevos blobs deben incluir una etiqueta de índice de blobs.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Escritura en un blob con etiquetas de índice de blobs
Escribir en un blob con etiquetas de índice de blobs
Origen del atributo Solicitud
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave {keyName}
Operator StringEquals
Value {keyValue}

Captura de pantalla del editor de condiciones en Azure Portal que muestra que los nuevos blobs deben incluir una etiqueta de índice de blobs.

Ejemplo: los blobs existentes deben tener claves de etiqueta de índice de blobs

Esta condición requiere que los blobs existentes se etiqueten con al menos una de las claves de etiqueta de índice de blobs permitidas: Project o Program. Esta condición es útil para agregar gobernanza a los blobs existentes.

Hay dos acciones que le permiten actualizar etiquetas en blobs existentes, por lo que debe tener como destino ambas. Debe agregar esta condición a todas las asignaciones de roles que incluyan una de las acciones siguientes:

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra que los blobs existentes deben tener claves de etiqueta de índice de blobs.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Escritura en un blob con etiquetas de índice de blobs
Escritura de etiquetas de índice de blobs
Origen del atributo Solicitud
Atributo Etiquetas de índice de blobs [claves]
Operador ForAllOfAnyValues:StringEquals
Value {keyName1}
{keyName2}

Captura de pantalla del editor de condiciones en Azure Portal que muestra que los blobs existentes deben tener claves de etiqueta de índice de blobs.

Ejemplo: los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores

Esta condición requiere que todos los blobs existentes tengan una clave de etiqueta de índice de blobs de Project y valores de etiqueta de Cascade, Baker o Skagit. Esta condición es útil para agregar gobernanza a los blobs existentes.

Hay dos acciones que le permiten actualizar etiquetas en blobs existentes, por lo que debe tener como destino ambas. Debe agregar esta condición a todas las asignaciones de roles que incluyan una de las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra que los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Escritura en un blob con etiquetas de índice de blobs
Escritura de etiquetas de índice de blobs
Origen del atributo Solicitud
Atributo Etiquetas de índice de blobs [claves]
Operador ForAnyOfAnyValues:StringEquals
Value {keyName}
Operator And
Expresión 2
Origen del atributo Solicitud
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave {keyName}
Operator ForAllOfAnyValues:StringEquals
Value {keyValue1}
{keyValue2}
{keyValue3}

Captura de pantalla del editor de condiciones en Azure Portal que muestra que los blobs existentes deben tener una clave de etiqueta de índice de blobs y valores.

Nombres o rutas del contenedor de blobs

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función del nombre del contenedor o la ruta de acceso del blob.

Ejemplo: lectura, escritura o eliminación de blobs en contenedores con nombre

Esta condición permite a los usuarios leer, escribir o eliminar blobs en contenedores de almacenamiento denominados blobs-example-container. Esta condición es útil para compartir contenedores de almacenamiento específicos con otros usuarios de una suscripción.

Hay cinco acciones para leer, escribir y eliminar blobs existentes. Debe agregar esta condición a todas las asignaciones de roles que incluyan una de las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.
Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Las suboperaciones no se usan en esta condición porque la suboperación solo se necesita cuando se crean condiciones basadas en etiquetas.

Diagrama de la condición que muestra blobs de lectura, escritura o eliminación en contenedores con nombre.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Captura de pantalla del editor de condiciones en Azure Portal que muestra blobs de lectura, escritura o eliminación en contenedores con nombre

Ejemplo: lectura de blobs en contenedores con nombre con una ruta de acceso

Esta condición permite el acceso de lectura a contenedores de almacenamiento denominados blobs-example-container con una ruta de acceso de blob de solo readonly/*. Esta condición es útil para compartir partes específicas de contenedores de almacenamiento para el acceso de lectura con otros usuarios de la suscripción.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.
Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Diagrama de la condición que muestra el acceso de lectura a blobs en contenedores con nombre con una ruta de acceso.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringEquals
Value {containerName}
Expresión 2
Operator And
Origen del atributo -resource
Atributo Ruta del blob
Operador StringLike
Value {pathString}

Captura de pantalla del editor de condiciones en Azure Portal que muestra el acceso de lectura a blobs en contenedores con nombre con una ruta de acceso.

Ejemplo: lectura o enumeración de blobs en contenedores con nombre con una ruta de acceso

Esta condición permite el acceso de lectura y también acceso de enumeración a contenedores de almacenamiento denominados blobs-example-container con una ruta de acceso de blob de solo readonly/*. La condición 1 se aplica a las acciones de lectura, excepto los blobs de lista. La condición 2 se aplica a los blobs de lista. Esta condición es útil para compartir partes específicas de contenedores de almacenamiento para el acceso de lectura o enumeración con otros usuarios de la suscripción.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.
Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Diagrama de la condición que muestra el acceso de lectura y enumeración a blobs en contenedores con nombre con una ruta de acceso.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Nota

Azure Portal usa el prefijo ='' para enumerar los blobs del directorio raíz del contenedor. Una vez agregada la condición con la operación de blobs de enumeración mediante el prefijo StringStartsWith "readonly/", los usuarios de destino no podrán enumerar blobs del directorio raíz del contenedor en Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringEquals
Value {containerName}
Expresión 2
Operator And
Origen del atributo -resource
Atributo Ruta del blob
Operador StringStartsWith
Value {pathString}
Condición 2 Configuración
Acciones Enumeración de blobs
Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringEquals
Value {containerName}
Expresión 2
Operator And
Origen del atributo Solicitud
Atributo Prefijo de blob
Operador StringStartsWith
Value {pathString}

Ejemplo: escritura de blobs en contenedores con nombre con una ruta de acceso

Esta condición permite a un partner (un invitado de Microsoft Entra) colocar archivos en contenedores de almacenamiento denominados Contosocorp con una ruta de acceso de uploads/contoso/*. Esta condición es útil para permitir que otros usuarios coloquen datos en contenedores de almacenamiento.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.
Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

Diagrama de la condición que muestra el acceso de escritura a blobs en contenedores con nombre con una ruta de acceso.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Escribir en un blob
Crear un blob o una instantánea, o anexar datos
Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringEquals
Value {containerName}
Expresión 2
Operator And
Origen del atributo -resource
Atributo Ruta del blob
Operador StringLike
Value {pathString}

Captura de pantalla del editor de condiciones en Azure Portal que muestra el acceso de escritura a blobs en contenedores con nombre con una ruta de acceso.

Ejemplo: lectura de blobs con una etiqueta de índice de blobs y una ruta de acceso

Esta condición permite a un usuario leer blobs con una clave de etiqueta de índice de blob de Program, un valor de Alpine y una ruta de acceso de blob de registros*. La ruta de acceso de blob de los registros* también incluye el nombre del blob.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a blobs con una etiqueta de índice de blobs y una ruta de acceso.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave {keyName}
Operator StringEquals
Value {keyValue}

Captura de pantalla del editor de la condición 1 en Azure Portal que muestra el acceso de lectura a blobs con una etiqueta de índice de blobs con una ruta de acceso.

Condición 2 Configuración
Acciones Leer un blob
Origen del atributo -resource
Atributo Ruta del blob
Operador StringLike
Value {pathString}

Captura de pantalla del editor de la condición 2 en Azure Portal que muestra el acceso de lectura a blobs con una etiqueta de índice de blobs con una ruta de acceso.

Metadatos del contenedor de blobs

Ejemplo: Lectura de blobs en el contenedor con metadatos específicos

Esta condición permite a los usuarios leer blobs en contenedores de blobs con un par de clave y valor de metadatos específico.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Origen del atributo -resource
Attribute Metadatos del contenedor
Operador StringEquals
Value {containerName}

Captura de pantalla del editor de condiciones en Azure Portal en la que se muestra el blob leído en el contenedor con metadatos específicos.

Ejemplo: Escritura o eliminación de blobs en el contenedor con metadatos específicos

Esta condición permite a los usuarios escribir o eliminar blobs en contenedores de blobs con un par de clave y valor de metadatos específico.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Escribir en un blob
Eliminar un blob
Origen del atributo -resource
Attribute Metadatos del contenedor
Operador StringEquals
Value {containerName}

Captura de pantalla del editor de condiciones en Azure Portal en la que se muestra la escritura y eliminación de blobs en el contenedor con metadatos específicos.

Versiones o instantáneas de blob

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función de la versión o instantánea del blob.

Ejemplo: lectura de únicamente las versiones de blobs actuales

Esta condición permite a un usuario leer solo las versiones de blobs actuales. El usuario no puede leer otras versiones de blob.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura solo a la versión actual de blobs.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo -resource
Atributo Es la versión actual
Operador BoolEquals
Value True

Ejemplo: lectura de las versiones de blobs actuales y una versión de blob específica

Esta condición permite al usuario leer las versiones de blobs actuales, así como leer blobs con un identificador de versión de 2022-06-01T23:38:32.8883645Z. El usuario no puede leer otras versiones de blob. El atributo Id. de versión solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Diagrama de la condición que muestra el acceso de lectura a una versión de blobs específica.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Origen del atributo Solicitud
Atributo Id. de la versión
Operador DateTimeEquals
Value <blobVersionId>
Expresión 2
Operator Or
Origen del atributo -resource
Atributo Es la versión actual
Operador BoolEquals
Value True

Ejemplo: eliminación de las versiones antiguas de los blobs

Esta condición permite a un usuario eliminar versiones de un blob anterior al 01/06/2022 para realizar la limpieza. El atributo Id. de versión solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Diagrama de la condición que muestra el acceso de eliminación a las versiones anteriores de blobs.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Eliminar un blob
Eliminar una versión de un blob
Origen del atributo Solicitud
Atributo Id. de la versión
Operador DateTimeLessThan
Value <blobVersionId>

Ejemplo: lectura de las versiones de blobs actuales y las instantáneas de los blobs

Esta condición permite a un usuario leer las versiones de blobs actuales y cualquier instantánea de blob. El atributo Id. de versión solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado. El atributo Snapshot está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado y actualmente en versión preliminar para las cuentas de almacenamiento en las que está habilitado el espacio de nombres jerárquico.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a las versiones actuales de blobs y a cualquier instantánea de blobs.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Todas las operaciones de datos para cuentas con espacio de nombres jerárquico habilitado (si es aplicable)
Origen del atributo Solicitud
Atributo Instantánea
Exists Activada
Expresión 2
Operator Or
Origen del atributo -resource
Atributo Es la versión actual
Operador BoolEquals
Value True

Ejemplo: Permitir la operación de enumeración de blobs para incluir metadatos de blobs, instantáneas o versiones

Esta condición permite a un usuario enumerar blobs en un contenedor e incluir metadatos, instantáneas e información de la versión. El atributo La lista de blobs incluye solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Nota:

La lista de blobs incluye es un atributo de solicitud y funciona al permitir o restringir valores en el parámetro include al llamar a la operación Enumerar blobs. Los valores del parámetro include se comparan con los valores especificados en la condición mediante operadores de comparación entre productos. Si la comparación se evalúa como true, se permite la solicitud List Blobs. Si la comparación se evalúa como false, se deniega la solicitud List Blobs.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Enumeración de blobs
Origen del atributo Solicitud
Attribute La lista de blobs incluye
Operador ForAllOfAnyValues:StringEqualsIgnoreCase
Valor {'metadata', 'snapshots', 'versions'}

Captura de pantalla del editor de condiciones en Azure Portal que muestra una condición para permitir que un usuario enumere blobs en un contenedor e incluya metadatos, instantáneas e información de la versión.

Ejemplo: Restricción de la operación de enumeración de blobs para que no incluya metadatos de blob

Esta condición restringe a un usuario la enumeración de blobs cuando los metadatos se incluyen en la solicitud. El atributo La lista de blobs incluye solo está disponible para las cuentas de almacenamiento en las que el espacio de nombres jerárquico no está habilitado.

Nota:

La lista de blobs incluye es un atributo de solicitud y funciona al permitir o restringir valores en el parámetro include al llamar a la operación Enumerar blobs. Los valores del parámetro include se comparan con los valores especificados en la condición mediante operadores de comparación entre productos. Si la comparación se evalúa como true, se permite la solicitud List Blobs. Si la comparación se evalúa como false, se deniega la solicitud List Blobs.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Enumeración de blobs
Origen del atributo Solicitud
Attribute La lista de blobs incluye
Operador ForAllOfAllValues:StringNotEquals
Valor {'metadata'}

Captura de pantalla del editor de condiciones en Azure Portal en la que se muestra una condición para restringir que un usuario muestre blobs cuando los metadatos se incluyan en la solicitud.

Espacio de nombres jerárquico

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función de si el espacio de nombres jerárquico está habilitado para una cuenta de almacenamiento.

Ejemplo: lectura de solo cuentas de almacenamiento con un espacio de nombres jerárquico habilitado

Esta condición permite que un usuario solo lea blobs en cuentas de almacenamiento con el espacio de nombres jerárquico habilitado. Esta condición solo se aplica en el ámbito del grupo de recursos o superior.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a las cuentas de almacenamiento con un espacio de nombres jerárquico habilitado.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Ámbito de cifrado

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos con un ámbito de cifrado aprobado.

Ejemplo: lectura de blobs con ámbitos de cifrado específicos

Esta condición permite a un usuario leer blobs cifrados con el ámbito de cifrado validScope1 o validScope2.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Diagrama de la condición que muestra el acceso de lectura a blobs con un ámbito de cifrado validScope1 o validScope2.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Origen del atributo -resource
Atributo Nombre del ámbito de cifrado
Operador ForAnyOfAnyValues:StringEquals
Value <scopeName>

Ejemplo: lectura o escritura de blobs en una cuenta de almacenamiento con nombre con un ámbito de cifrado específico

Esta condición permite a un usuario leer o escribir blobs en una cuenta de almacenamiento denominada sampleaccount y cifrada con el ámbito de cifrado ScopeCustomKey1. Si los blobs no están cifrados o descifrados con ScopeCustomKey1, la solicitud devuelve prohibido.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Nota

Dado que los ámbitos de cifrado para diferentes cuentas de almacenamiento pueden ser diferentes, se recomienda usar el atributo storageAccounts:name con el atributo encryptionScopes:name para restringir el ámbito de cifrado específico que se va a permitir.

Diagrama de la condición que muestra el acceso de lectura o escritura a blobs en la cuenta de almacenamiento sampleaccount con un ámbito de cifrado ScopeCustomKey1.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Leer un blob
Escribir en un blob
Crear un blob o una instantánea, o anexar datos
Origen del atributo -resource
Atributo Nombre de cuenta
Operador StringEquals
Value <accountName>
Expresión 2
Operator And
Origen del atributo -resource
Atributo Nombre del ámbito de cifrado
Operador ForAnyOfAnyValues:StringEquals
Value <scopeName>

Atributos de entidad de seguridad

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a los objetos en función de las entidades de seguridad personalizadas.

Ejemplo: lectura o escritura de blobs basándose en etiquetas de índice de blobs y atributos de seguridad personalizados

Esta condición permite el acceso de lectura y escritura a blobs si el usuario tiene un atributo de seguridad personalizado que coincide con la etiqueta de índice de blobs.

Por ejemplo, si Brenda tiene el atributo Project=Baker, solo puede leer y escribir blobs con la etiqueta de índice de blobs Project=Baker. De forma similar, Chandra solo puede leer y escribir blobs con Project=Cascade.

Debe agregar esta condición a todas las asignaciones de roles que incluyan las acciones siguientes.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Para más información, vea Permitir el acceso de lectura a blobs en función de etiquetas y atributos de seguridad personalizados.

Diagrama de la condición que muestra el acceso de lectura o escritura a blobs basado en etiquetas de índice de blobs y atributos de seguridad personalizados.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Condiciones de Leer un blob
Origen del atributo Principal
Atributo <attributeset>_<key>
Operator StringEquals
Opción Atributo
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave <key>
Condición 2 Configuración
Acciones Escritura en un blob con etiquetas de índice de blobs
Escribir en un blob con etiquetas de índice de blobs
Origen del atributo Principal
Atributo <attributeset>_<key>
Operator StringEquals
Opción Atributo
Origen del atributo Solicitud
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave <key>

Ejemplo: lectura de blobs basándose en etiquetas de índice de blobs y atributos de seguridad personalizados de varios valores

Esta condición permite el acceso de lectura a blobs si el usuario tiene un atributo de seguridad personalizado con cualquier valor que coincide con la etiqueta de índice de blobs.

Por ejemplo, si Chandra tiene el atributo Project con los valores Baker y Cascade, solo puede leer blobs con la etiqueta de índice de blobs Project=Baker o Project=Cascade.

Debe agregar esta condición a todas las asignaciones de roles que incluyan la acción siguiente.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

Para más información, vea Permitir el acceso de lectura a blobs en función de etiquetas y atributos de seguridad personalizados.

Diagrama de la condición que muestra el acceso de lectura a blobs basado en etiquetas de índice de blobs y atributos de seguridad personalizados de varios valores.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición mediante Azure Portal.

Condición 1 Configuración
Acciones Condiciones de Leer un blob
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave <key>
Operator ForAnyOfAnyValues:StringEquals
Opción Atributo
Origen del atributo Principal
Atributo <attributeset>_<key>

Atributos de entorno

En esta sección, se incluyen ejemplos que muestran cómo restringir el acceso a objetos en función del entorno de red o de la fecha y hora actuales.

Ejemplo: Permitir el acceso de lectura a blobs después de una fecha y hora específicas

Esta condición permite el acceso de lectura al contenedor de blobs container1 solo después de la 1 p. m. el 1 de mayo de 2023 (UTC).

Hay dos posibles acciones para leer blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Agregar una acción

Seleccione Agregar acción y, luego, seleccione solo la suboperación Leer un blob, como se muestra en la tabla siguiente.

Acción Suboperación
Todas las operaciones de lectura Leer un blob

No seleccione la acción Todas las operaciones de lectura de nivel superior o cualquier otra suboperación, como se muestra en la imagen siguiente:

Captura de pantalla del editor de condiciones en Azure Portal que muestra la selección de solo la operación de lectura.

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Configuración Valor
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringEquals
Value container1
Operador lógico "AND"
Origen del atributo Entorno
Atributo UtcNow
Operador DateTimeGreaterThan
Value 2023-05-01T13:00:00.000Z

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

Captura de pantalla del editor de condiciones en Azure Portal que muestra el acceso de lectura permitido solo después de una fecha y hora específica.

Ejemplo: Permitir el acceso a blobs en contenedores específicos desde una subred específica

Esta condición permite el acceso de lectura, escritura, adición y eliminación a blobs solo desde la container1subred default de la red virtual virtualnetwork1. Para usar el atributo Subred de en este ejemplo, la subred debe tener habilitados puntos de conexión de servicio para Azure Storage.

Hay cinco posibles acciones para la lectura, escritura, agregación y eliminación de acceso en blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Agregar una acción

Seleccione Agregar acción y, después, seleccione solo las acciones de nivel superior que se muestran en la tabla siguiente.

Acción Suboperación
Todas las operaciones de lectura n/a
Escribir en un blob n/a
Crear un blob o una instantánea, o anexar datos n/a
Eliminar un blob n/a

No seleccione ninguna suboperación individual, como se muestra en la imagen siguiente:

Captura de pantalla del editor de condiciones en Azure Portal que muestra la selección de las operaciones de lectura, escritura, agregación y eliminación.

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Configuración Valor
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringEquals
Value container1
Operador lógico "AND"
Origen del atributo Entorno
Atributo Subred
Operador StringEqualsIgnoreCase
Value /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

Captura de pantalla del editor de condición en Azure Portal que muestra el acceso de lectura permitido en contenedores específicos desde una subred específica.

Esta condición requiere solicitudes para leer blobs en los que la confidencialidad de la etiqueta de índice de blobs necesita un valor de high para realizarse a través de un vínculo privado (cualquier vínculo privado). Esto significa que no se permitirá ningún intento de leer blobs altamente confidenciales de la red pública de Internet. Los usuarios pueden leer blobs de la red pública de Internet que tienen la confidencialidad establecida en algún valor distinto de high.

A continuación, se muestra una tabla de verdad para esta condición de ejemplo de ABAC:

Acción Sensibilidad Private Link Acceso
Leer un blob high Permitidas
Leer un blob high No No permitido
Leer un blob NO alta Permitida
Leer un blob NO alta No Permitida

Hay dos posibles acciones para leer blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición con el editor de condiciones visual de Azure Portal.

Agregar una acción

Seleccione Agregar acción y, luego, seleccione solo la suboperación Leer un blob, como se muestra en la tabla siguiente.

Acción Suboperación
Todas las operaciones de lectura Leer un blob

No seleccione la acción Todas las operaciones de lectura de nivel superior ni ninguna suboperación, como se muestra en la imagen siguiente:

Captura de pantalla del editor de condiciones en Azure Portal que muestra la selección de solo la operación de lectura.

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Grupo Configuración Value
Grupo 1
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave sensitivity
Operador StringEquals
Value high
Operador lógico "AND"
Origen del atributo Entorno
Atributo Es un vínculo privado
Operador BoolEquals
Value True
Fin del grupo 1
Operador lógico "OR"
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave sensitivity
Operador StringNotEquals
Value high

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

Captura de pantalla del editor de condiciones en Azure Portal que muestra el acceso de lectura que necesita un vínculo privado para el acceso a datos confidenciales.

Ejemplo: Permitir el acceso a un contenedor solo desde un punto de conexión privado específico

Esta condición requiere que todas las operaciones de lectura, escritura, adición y eliminación de blobs en un contenedor de almacenamiento denominado container1 se realicen a través de un punto de conexión privado denominado privateendpoint1. Para todos los demás contenedores no denominados container1, no es necesario tener acceso a través del punto de conexión privado.

Hay cinco acciones posibles para la lectura, escritura y eliminación de blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.
Agregue si las cuentas de almacenamiento incluidas en esta condición tienen habilitado el espacio de nombres jerárquico o podrían habilitarse en el futuro.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición con el editor de condiciones visual de Azure Portal.

Agregar una acción

Seleccione Agregar acción y, después, seleccione solo las acciones de nivel superior que se muestran en la tabla siguiente.

Acción Suboperación
Todas las operaciones de lectura n/a
Escribir en un blob n/a
Crear un blob o una instantánea, o anexar datos n/a
Eliminar un blob n/a

No seleccione ninguna suboperación individual, como se muestra en la imagen siguiente:

Captura de pantalla del editor de condiciones en Azure Portal que muestra la selección de las operaciones de lectura, escritura, agregación y eliminación.

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Grupo Configuración Value
Grupo 1
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringEquals
Value container1
Operador lógico "AND"
Origen del atributo Entorno
Atributo Punto de conexión privado
Operador StringEqualsIgnoreCase
Value /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Fin del grupo 1
Operador lógico "OR"
Origen del atributo -resource
Atributo Nombre del contenedor
Operador StringNotEquals
Value container1

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

Captura de pantalla del editor de condiciones en Azure Portal que muestra blobs de lectura, escritura o eliminación en contenedores con nombre con el atributo de entorno de punto de conexión privado.

Ejemplo: Permitir el acceso de lectura a datos de blobs altamente confidenciales solo desde un punto de conexión privado específico y por los usuarios etiquetados para el acceso

Esta condición requiere que los blobs con una etiqueta de índice de confidencialidad establecida en high solo puedan ser leídos por los usuarios que tengan un valor coincidente en su atributo de seguridad de confidencialidad. Además, se debe tener acceso a ellos a través de un punto de conexión privado denominado privateendpoint1. Los blobs que tienen un valor diferente para la etiqueta de confidencialidad pueden ser accesibles a través de otros puntos de conexión o a través de Internet.

Hay dos posibles acciones para leer blobs existentes. Para que esta condición sea efectiva para las entidades de seguridad que tienen varias asignaciones de roles, debe agregar esta condición a todas las asignaciones de roles que incluyan cualquiera de las siguientes acciones.

Acción Notas
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Agregue si la definición de rol incluye esta acción, como propietario de datos del blob de almacenamiento.

La condición se puede agregar a una asignación de roles mediante Azure Portal o Azure PowerShell. El portal tiene dos herramientas para compilar condiciones de ABAC: el editor visual y el editor de código. Puede cambiar entre los dos editores de Azure Portal para ver las condiciones en diferentes vistas. Cambie entre las pestañas Editor visual y Editor de código para ver los ejemplos del editor del portal preferido.

Esta es la configuración para agregar esta condición con el editor de condiciones visual de Azure Portal.

Agregar una acción

Seleccione Agregar acción y, luego, seleccione solo la suboperación Leer un blob, como se muestra en la tabla siguiente.

Acción Suboperación
Todas las operaciones de lectura Leer un blob

No seleccione la acción de nivel superior, como se muestra en la siguiente imagen:

Captura de pantalla del editor de condiciones en Azure Portal que muestra la selección de la operación de lectura de un blob.

Compilación de expresión

Use los valores de la tabla siguiente para compilar la parte de expresión de la condición:

Grupo Configuración Value
Grupo 1
Origen del atributo Principal
Atributo <attributeset>_<key>
Operator StringEquals
Opción Atributo
Operador lógico "AND"
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave <key>
Operador lógico "AND"
Origen del atributo Entorno
Atributo Punto de conexión privado
Operador StringEqualsIgnoreCase
Value /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Fin del grupo 1
Operador lógico "OR"
Origen del atributo -resource
Atributo Etiquetas de índice de blobs [Valores en clave]
Clave sensitivity
Operador StringNotEquals
Value high

En la imagen siguiente, se muestra la condición después de especificar la configuración en Azure Portal. Debe agrupar expresiones para asegurarse de que la evaluación es correcta.

Captura de pantalla de un editor de condiciones en Azure Portal que muestra el acceso de lectura permitido por medio de un punto de conexión privado específico para usuarios etiquetados.

Pasos siguientes