Példa Azure-szerepkör-hozzárendelési feltételekre a Blob Storage-hoz

  • Cikk

Ez a cikk néhány példát sorol fel az Azure Blob Storage-hoz való hozzáférés szabályozásához szükséges szerepkör-hozzárendelési feltételekre.

Fontos

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz requestvaló hozzáférés szabályozásához a resourceenvironmentstandard és principal a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Előfeltételek

A szerepkör-hozzárendelési feltételek hozzáadásának vagy szerkesztésének előfeltételeiről további információt a Feltételek előfeltételei című témakörben talál.

A cikkben szereplő példák összefoglalása

Az alábbi táblázat segítségével gyorsan megtalálhatja az ABAC-forgatókönyvnek megfelelő példát. A táblázat tartalmazza a forgatókönyv rövid leírását, valamint a példában forrás (környezet, egyszerű, kérelem és erőforrás) által használt attribútumok listáját.

Példa Környezet Rendszerbiztonsági tag Kérés Erőforrás
Blobok olvasása blobindexcímkével címkét
Az új blobok blobindexcímkét kell tartalmazniuk címkét
A meglévő bloboknak blobindexcímkekulcsokkal kell rendelkezniük címkét
A meglévő bloboknak blobindexcímke-kulcssal és értékekkel kell rendelkezniük címkét
Blobok olvasása, írása vagy törlése nevesített tárolókban tároló neve
Blobok olvasása elnevezett tárolókban elérési úttal tárolónév
blob elérési útja
Blobok olvasása vagy listázása elnevezett tárolókban elérési úttal blobelőtag tárolónév
blob elérési útja
Blobok írása elnevezett tárolókba elérési úttal tárolónév
blob elérési útja
Blobok olvasása blobindexcímkével és elérési úttal címkék
blob elérési útja
Blobok olvasása a tárolóban adott metaadatokkal tároló metaadatai
Blobok írása vagy törlése a tárolóban adott metaadatokkal tároló metaadatai
Csak az aktuális blobverziók olvasása isCurrentVersion
Az aktuális blobverziók és egy adott blobverzió olvasása versionId isCurrentVersion
Régi blobverziók törlése versionId
Az aktuális blobverziók és a blob pillanatképeinek olvasása pillanatkép isCurrentVersion
Blobadatok, pillanatképek vagy verziók listázási blobműveletének engedélyezése listablobok
A blobok listájának működésének korlátozása, hogy ne tartalmazzanak blob-metaadatokat listablobok
Csak a hierarchikus névtérrel rendelkező tárfiókok olvasása isHnsEnabled
Adott titkosítási hatókörrel rendelkező blobok olvasása Titkosítási hatókör neve
Blobok olvasása vagy írása nevesített tárfiókban, meghatározott titkosítási hatókörrel Tárfiók neve
Titkosítási hatókör neve
Blobok olvasása vagy írása blobindexcímkék és egyéni biztonsági attribútumok alapján ID (Azonosító) címkét címkét
Blobok olvasása blobindexcímkék és többértékű egyéni biztonsági attribútumok alapján ID (Azonosító) címkét
A blobok olvasási hozzáférésének engedélyezése egy adott dátum és időpont után UtcNow tároló neve
Adott tárolók blobokhoz való hozzáférésének engedélyezése egy adott alhálózatról Alhálózat tároló neve
Nagy bizalmasságú olvasási blobok privát hivatkozáshoz való hozzáférésének megkövetelése isPrivateLink címkét
Tárolóhoz való hozzáférés engedélyezése csak egy adott privát végpontról Privát végpont tároló neve
Példa: A bizalmas blobadatok olvasási hozzáférésének engedélyezése csak egy adott privát végpontról és a hozzáféréshez címkézett felhasználók számára Privát végpont ID (Azonosító) címkét

Blobindex-címkék

Ez a szakasz példákat tartalmaz a blobindex-címkékre.

Fontos

Bár az Read content from a blob with tag conditions alművelet jelenleg támogatott az ABAC szolgáltatás előzetes verziójában implementált feltételekkel való kompatibilitáshoz, elavult, és a Microsoft inkább a Read a blob művelet használatát javasolja.

Ha az Azure Portalon konfigurálja az ABAC-feltételeket, előfordulhat , hogy elavult: Tartalom olvasása egy blobból címkefeltételekkel. A Microsoft azt javasolja, hogy távolítsa el a műveletet, és cserélje le a Read a blob műveletre.

Ha saját feltételt hoz létre, ahol címkefeltételek szerint szeretné korlátozni az olvasási hozzáférést, tekintse meg a Példa: Blobok olvasása blobindex-címkével.

Példa: Blobok olvasása blobindexcímkével

Ez a feltétel lehetővé teszi, hogy a felhasználók a Project blobindex-címkekulcsával és a Kaszkádolt értékkel olvassák a blobokat. A kulcs-érték címke nélküli blobok elérésére tett kísérletek nem engedélyezettek.

Ahhoz, hogy ez a feltétel érvényes legyen egy biztonsági tag esetében, hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely a következő műveleteket tartalmazza:

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A blobok olvasási hozzáférését ábrázoló állapotdiagram blobindexcímkével.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portal vizualizációszerkesztőjével.

1. feltétel Beállítás
Műveletek Blob olvasása
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs {keyName}
Operátor StringEquals
Érték {keyValue}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen a blobok olvasási hozzáférése látható egy blobindexcímkével.

Példa: Az új blobok blobindexcímkét kell tartalmazniuk

Ehhez a feltételhez minden új blobnak tartalmaznia kell a Project blobindexcímkéjét és a Kaszkádolt értéket.

Két művelet teszi lehetővé új blobok létrehozását, ezért mindkettőt meg kell céloznia. Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletek egyikét tartalmazza:

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Az új blobokat ábrázoló állapotdiagramnak blobindexcímkét kell tartalmaznia.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Írás blobba blobindexcímkékkel
Írás blobba blobindexcímkékkel
Attribútumforrás Kérés
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs {keyName}
Operátor StringEquals
Érték {keyValue}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen az új blobok blobindexcímkét tartalmaznak.

Példa: A meglévő bloboknak blobindexcímkés kulcsokkal kell rendelkezniük

Ehhez a feltételhez minden meglévő blobnak meg kell címkéznie legalább egy engedélyezett blobindexcímkét : Project vagy Program. Ez a feltétel hasznos lehet a meglévő blobok szabályozásának hozzáadásához.

Két művelet lehetővé teszi címkék frissítését a meglévő blobokon, ezért mindkettőt meg kell céloznia. Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletek egyikét tartalmazza:

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A meglévő blobokat ábrázoló állapotdiagramnak blobindexcímkével kell rendelkeznie.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Írás blobba blobindexcímkékkel
Blobindex-címkék írása
Attribútumforrás Kérés
Attribútum Blobindex-címkék [Kulcsok]
Operátor ForAllOfAnyValues:StringEquals
Érték {keyName1}
{keyName2}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen az látható, hogy a meglévő bloboknak blobindexcímkékkel kell rendelkezniük.

Példa: A meglévő bloboknak blobindexcímkekulcsot és értékeket kell tartalmazniuk

Ehhez a feltételhez minden meglévő blobnak rendelkeznie kell a Project blobindex-címkekulcsával , valamint a Cascade, Baker vagy Skagit értékekkel. Ez a feltétel hasznos lehet a meglévő blobok szabályozásának hozzáadásához.

Két művelet lehetővé teszi címkék frissítését a meglévő blobokon, ezért mindkettőt meg kell céloznia. Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletek egyikét tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A meglévő blobokat ábrázoló állapotdiagramnak blobindexcímkével és értékekkel kell rendelkeznie.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Írás blobba blobindexcímkékkel
Blobindex-címkék írása
Attribútumforrás Kérés
Attribútum Blobindex-címkék [Kulcsok]
Operátor ForAnyOfAnyValues:StringEquals
Érték {keyName}
Operátor And
2. kifejezés
Attribútumforrás Kérés
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs {keyName}
Operátor ForAllOfAnyValues:StringEquals
Érték {keyValue1}
{keyValue2}
{keyValue3}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen az látható, hogy a meglévő bloboknak blobindexcímkékkel és értékekkel kell rendelkezniük.

Blobtárolók nevei vagy elérési útjai

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést a tárolónév vagy a blob elérési útja alapján.

Példa: Blobok olvasása, írása vagy törlése nevesített tárolókban

Ez a feltétel lehetővé teszi, hogy a felhasználók blobokat olvassanak, írjanak vagy töröljenek a blobok-example-container nevű tárolókban. Ez a feltétel akkor hasznos, ha adott tárolókat oszt meg az előfizetés többi felhasználójával.

A meglévő blobok olvasására, írására és törlésére öt művelet használható. Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletek egyikét tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.
Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

Ebben a feltételben az aloperációk nem használhatók, mert az aloperációra csak akkor van szükség, ha a feltételek címkék alapján vannak megadva.

Az elnevezett tárolókban lévő blobok olvasását, írását vagy törlését ábrázoló állapotdiagram.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob törlése
Blob olvasása
Írás blobba
Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték {containerName}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen az elnevezett tárolókban lévő blobok olvasása, írása vagy törlése látható.

Példa: Blobok olvasása elnevezett tárolókban elérési úttal

Ez a feltétel olvasási hozzáférést tesz lehetővé a blob-example-container nevű tárolókhoz, és a blob elérési útja olvasható/*. Ez a feltétel akkor hasznos, ha a tárolók meghatározott részeit osztja meg olvasási hozzáférés céljából az előfizetés többi felhasználójával.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.
Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

A blobok olvasási hozzáférését ábrázoló állapotdiagram nevesített tárolókban egy elérési úttal.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték {containerName}
2. kifejezés
Operátor And
Attribútumforrás Erőforrás
Attribútum Blob elérési útja
Operátor StringLike
Érték {pathString}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen a blobok olvasási hozzáférése elnevezett tárolókban található egy elérési úttal.

Példa: Blobok olvasása vagy listázása elnevezett tárolókban elérési úttal

Ez a feltétel lehetővé teszi az olvasási hozzáférést, és a blob-example-container nevű tárolókhoz való hozzáférést is listázhatja írásvédett/*blob elérési úttal. Az 1. feltétel a listablobok kivételével az olvasási műveletekre vonatkozik. A 2. feltétel listablobokra vonatkozik. Ez a feltétel akkor hasznos, ha a tárolók adott részeit osztja meg olvasási vagy listahozzáférés céljából az előfizetés többi felhasználójával.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.
Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

Egy elérési úttal rendelkező nevesített tárolók blobjainak olvasási és listázási hozzáférését ábrázoló állapotdiagram.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

Feljegyzés

Az Azure Portal az prefix='' előtagot használja a tároló gyökérkönyvtárából származó blobok listázására. Miután hozzáadta a feltételt a listablobok műveletéhez a StringStartsWith "readonly/" előtaggal, a megcélzott felhasználók nem tudják listázni a blobokat a tároló gyökérkönyvtárából az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték {containerName}
2. kifejezés
Operátor And
Attribútumforrás Erőforrás
Attribútum Blob elérési útja
Operátor StringStartsWith
Érték {pathString}
2. feltétel Beállítás
Műveletek Blobok listázása
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték {containerName}
2. kifejezés
Operátor And
Attribútumforrás Kérés
Attribútum Blobelőtag
Operátor StringStartsWith
Érték {pathString}

Példa: Blobok írása elnevezett tárolókba elérési úttal

Ez a feltétel lehetővé teszi, hogy egy partner (a Microsoft Entra vendégfelhasználója) fájlokat helyezzen a Contosocorp nevű tárolókba a feltöltések/contoso/* elérési útjával. Ez a feltétel akkor hasznos, ha lehetővé teszi más felhasználók számára az adatok tárolókba helyezését.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.
Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

A blobok írási hozzáférését ábrázoló állapotdiagram nevesített tárolókban egy elérési úttal.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Írás blobba
Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték {containerName}
2. kifejezés
Operátor And
Attribútumforrás Erőforrás
Attribútum Blob elérési útja
Operátor StringLike
Érték {pathString}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen a blobokhoz való írási hozzáférés nevesített tárolókban található egy elérési úttal.

Példa: Blobok olvasása blobindexcímkével és elérési úttal

Ez a feltétel lehetővé teszi, hogy a felhasználó blobokat olvasson a Program blobindexcímkéjével , az Alpine értékével és a naplók blobútvonalával*. A naplók blobútvonala* a blob nevét is tartalmazza.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A blobok olvasási hozzáférését ábrázoló állapotdiagram blobindexcímkével és elérési úttal.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs {keyName}
Operátor StringEquals
Érték {keyValue}

Az 1. feltétel szerkesztőjének képernyőképe az Azure Portalon, amelyen a blobok olvasási hozzáférése látható egy blobindexcímkével és egy elérési úttal.

2. feltétel Beállítás
Műveletek Blob olvasása
Attribútumforrás Erőforrás
Attribútum Blob elérési útja
Operátor StringLike
Érték {pathString}

A 2. feltétel szerkesztőjének képernyőképe az Azure Portalon, amelyen a blobok olvasási hozzáférése látható egy blobindexcímkével és egy elérési úttal.

Blobtároló metaadatai

Példa: Blobok olvasása a tárolóban adott metaadatokkal

Ez a feltétel lehetővé teszi, hogy a felhasználók egy adott metaadat-kulcs/érték pár használatával olvassák a blobtárolókban lévő blobokat.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
Attribútumforrás Erőforrás
Attribútum Tároló metaadatai
Operátor StringEquals
Érték {containerName}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen a tárolóban lévő olvasási blob adott metaadatokkal jelenik meg.

Példa: Blobok írása vagy törlése a tárolóban adott metaadatokkal

Ez a feltétel lehetővé teszi, hogy a felhasználók blobokat írjanak vagy töröljenek a blobtárolókban egy adott metaadatkulcs/érték pár használatával.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Írás blobba
Blob törlése
Attribútumforrás Erőforrás
Attribútum Tároló metaadatai
Operátor StringEquals
Érték {containerName}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen a blob írása és törlése a tárolóban adott metaadatokkal.

Blobverziók vagy blob-pillanatképek

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést a blobverzió vagy a pillanatkép alapján.

Példa: Csak az aktuális blobverziók olvasása

Ez a feltétel lehetővé teszi, hogy a felhasználó csak az aktuális blobverziókat olvassa. A felhasználó nem tud olvasni más blobverziókat.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A csak az aktuális blobverzióhoz való olvasási hozzáférést ábrázoló feltételdiagram.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Erőforrás
Attribútum Aktuális verzió
Operátor BoolEquals
Érték Igaz

Példa: Az aktuális blobverziók és egy adott blobverzió olvasása

Ez a feltétel lehetővé teszi a felhasználó számára a blobok aktuális verzióinak olvasását, valamint a 2022-06-01T23:38:32.8883645Z verzióazonosítójú blobok olvasását. A felhasználó nem tud olvasni más blobverziókat. A Verzióazonosító attribútum csak olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Egy adott blobverzió olvasási hozzáférését ábrázoló feltételdiagram.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
Attribútumforrás Kérés
Attribútum Verzióazonosító
Operátor DateTimeEquals
Érték <blobVersionId>
2. kifejezés
Operátor Or
Attribútumforrás Erőforrás
Attribútum Aktuális verzió
Operátor BoolEquals
Érték Igaz

Példa: Régi blobverziók törlése

Ezzel a feltételsel a felhasználó törölheti a 2022. 01. 06-nál régebbi blobverziókat a törlés végrehajtásához. A Verzióazonosító attribútum csak olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

A régi blobverziókhoz való törlési hozzáférést ábrázoló feltételdiagram.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob törlése
Blobverzió törlése
Attribútumforrás Kérés
Attribútum Verzióazonosító
Operátor DateTimeLessThan
Érték <blobVersionId>

Példa: Az aktuális blobverziók és a blobok pillanatképeinek olvasása

Ez a feltétel lehetővé teszi, hogy a felhasználó elolvassa az aktuális blobverziókat és a blob pillanatképeit. A Verzióazonosító attribútum csak olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve. A Snapshot attribútum olyan tárfiókok esetében érhető el, ahol a hierarchikus névtér nincs engedélyezve, és jelenleg előzetes verzióban érhető el azokhoz a tárfiókokhoz, ahol engedélyezve van a hierarchikus névtér.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Az aktuális blobverziókhoz és blob-pillanatképekhez való olvasási hozzáférést ábrázoló állapotdiagram.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Kérés
Attribútum Pillanatkép
Létezik Ellenőrizni
2. kifejezés
Operátor Or
Attribútumforrás Erőforrás
Attribútum Aktuális verzió
Operátor BoolEquals
Érték Igaz

Példa: Blobok listázási műveletének engedélyezése blob metaadatok, pillanatképek vagy verziók belefoglalására

Ez a feltétel lehetővé teszi, hogy a felhasználó listázhassa a tárolóban lévő blobokat, és metaadatokat, pillanatképeket és verzióinformációkat tartalmazzon. A Listablobok tartalmaz attribútum olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Feljegyzés

A listablobok belefoglalása egy kérelemattribútum, és úgy működik, hogy engedélyezi vagy korlátozza a paraméter értékeit a includeListablobok művelet meghívásakor. A paraméter értékeit include a rendszer összehasonlítja a feltételben megadott értékekkel termék-összehasonlító operátorok használatával. Ha az összehasonlítás értéke igaz, a List Blobs kérés engedélyezve van. Ha az összehasonlítás hamisnak számít, a rendszer megtagadja a kérést List Blobs .

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blobok listázása
Attribútumforrás Kérés
Attribútum Listablobok:
Operátor ForAllOfAnyValues:StringEqualsIgnoreCase
Érték {'metadata', 'snapshots', 'versions'}

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen egy olyan feltétel látható, amely lehetővé teszi a felhasználó számára, hogy listázhassa a tárolóban lévő blobokat, és metaadatokat, pillanatképeket és verzióinformációkat tartalmazzon.

Példa: A listablob műveletének korlátozása a blob metaadatainak hozzáadására

Ez a feltétel korlátozza a felhasználót abban az esetben, ha metaadatok szerepelnek a kérésben. A Listablobok tartalmaz attribútum olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Feljegyzés

A listablobok belefoglalása egy kérelemattribútum, és úgy működik, hogy engedélyezi vagy korlátozza a paraméter értékeit a includeListablobok művelet meghívásakor. A paraméter értékeit include a rendszer összehasonlítja a feltételben megadott értékekkel termék-összehasonlító operátorok használatával. Ha az összehasonlítás értéke igaz, a List Blobs kérés engedélyezve van. Ha az összehasonlítás hamisnak számít, a rendszer megtagadja a kérést List Blobs .

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blobok listázása
Attribútumforrás Kérés
Attribútum Listablobok:
Operátor ForAllOfAllValues:StringNotEquals
Érték {'metadata'}

Képernyőkép a feltételszerkesztőről az Azure Portalon, amelyen egy olyan feltétel látható, amely korlátozza a felhasználót a blobok listázásában, ha a kérés metaadatokat tartalmaz.

Hierarchikus névtér

Ez a szakasz példákat tartalmaz az objektumokhoz való hozzáférés korlátozására annak alapján, hogy engedélyezve van-e a hierarchikus névtér egy tárfiókhoz.

Példa: Csak a hierarchikus névtérrel rendelkező tárfiókok olvasása

Ez a feltétel lehetővé teszi a felhasználó számára, hogy csak a hierarchikus névtérrel rendelkező tárfiókokban lévő blobokat olvassa. Ez a feltétel csak az erőforráscsoport hatókörében vagy annál magasabb szinten alkalmazható.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A hierarchikus névtérrel rendelkező tárfiókok olvasási hozzáférését bemutató feltétel diagramja.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás Erőforrás
Attribútum Engedélyezve van a hierarchikus névtér
Operátor BoolEquals
Érték Igaz

Titkosítási hatókör

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja a jóváhagyott titkosítási hatókörrel rendelkező objektumokhoz való hozzáférést.

Példa: Adott titkosítási hatókörrel rendelkező blobok olvasása

Ez a feltétel lehetővé teszi, hogy a felhasználó titkosítási hatókörrel validScope1 vagy validScope2.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Állapotdiagram a blobok olvasási hozzáféréséről a validScope1 vagy a validScope2 titkosítási hatókörrel.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
Attribútumforrás Erőforrás
Attribútum Titkosítási hatókör neve
Operátor ForAnyOfAnyValues:StringEquals
Érték <scopeName>

Példa: Blobok olvasása vagy írása nevesített tárfiókban, meghatározott titkosítási hatókörrel

Ez a feltétel lehetővé teszi, hogy a felhasználó egy titkosítási hatókörrel ScopeCustomKey1ellátott, elnevezett sampleaccount és titkosított tárfiókban tudjon blobokat olvasni vagy írni. Ha a blobok nincsenek titkosítva vagy visszafejtve, a kérés tiltott értéket ad ScopeCustomKey1vissza.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Feljegyzés

Mivel a különböző tárfiókok titkosítási hatókörei eltérőek lehetnek, javasoljuk, hogy az storageAccounts:name attribútumot az attribútummal együtt encryptionScopes:name használva korlátozza az adott titkosítási hatókört.

A blobokhoz való olvasási vagy írási hozzáférést bemutató állapotdiagram a Sampleaccount Storage-fiókban a ScopeCustomKey1 titkosítási hatókörrel.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blob olvasása
Írás blobba
Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése
Attribútumforrás Erőforrás
Attribútum Fióknév
Operátor StringEquals
Érték <Accountname>
2. kifejezés
Operátor And
Attribútumforrás Erőforrás
Attribútum Titkosítási hatókör neve
Operátor ForAnyOfAnyValues:StringEquals
Érték <scopeName>

Egyszerű attribútumok

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést egyéni biztonsági tagok alapján.

Példa: Blobok olvasása vagy írása blobindexcímkék és egyéni biztonsági attribútumok alapján

Ez a feltétel olvasási vagy írási hozzáférést tesz lehetővé a blobokhoz, ha a felhasználó egyéni biztonsági attribútummal rendelkezik, amely megfelel a blobindex címkéjének.

Ha például Brenda attribútummal Project=Bakerrendelkezik, csak a Project=Baker blobindex címkével rendelkező blobokat tud olvasni vagy írni. Hasonlóképpen, a Chandra csak a blobokat tudja olvasni vagy írni.Project=Cascade

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

További információ: A blobok olvasási hozzáférésének engedélyezése címkék és egyéni biztonsági attribútumok alapján.

A blobok írási és olvasási hozzáférését bemutató állapotdiagram blobindexcímkék és egyéni biztonsági attribútumok alapján.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blobfeltételek olvasása
Attribútumforrás
Attribútum <attributeset>_<key>
Operátor StringEquals
Lehetőség Attribútum
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs <key>
2. feltétel Beállítás
Műveletek Írás blobba blobindexcímkékkel
Írás blobba blobindexcímkékkel
Attribútumforrás
Attribútum <attributeset>_<key>
Operátor StringEquals
Lehetőség Attribútum
Attribútumforrás Kérés
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs <key>

Példa: Blobok olvasása blobindexcímkék és többértékű egyéni biztonsági attribútumok alapján

Ez a feltétel lehetővé teszi a blobok olvasási hozzáférését, ha a felhasználó egyéni biztonsági attribútummal rendelkezik a blobindex címkéjének megfelelő értékekkel.

Ha például Chandra a Baker és a Cascade értékekkel rendelkezik a Project attribútummal, akkor csak a blobok vagy Project=Cascade blobindexek Project=Baker címkéjét tudja olvasni.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

További információ: A blobok olvasási hozzáférésének engedélyezése címkék és egyéni biztonsági attribútumok alapján.

A blobok olvasási hozzáférését ábrázoló állapotdiagram blobindexcímkék és többértékű egyéni biztonsági attribútumok alapján.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel Beállítás
Műveletek Blobfeltételek olvasása
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs <key>
Operátor ForAnyOfAnyValues:StringEquals
Lehetőség Attribútum
Attribútumforrás
Attribútum <attributeset>_<key>

Környezeti attribútumok

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést a hálózati környezet vagy az aktuális dátum és idő alapján.

Példa: A blobok olvasási hozzáférésének engedélyezése egy adott dátum és idő után

Ez a feltétel csak 2023. május 1-jén 13:00 óra után teszi lehetővé a blobtárolók container1 olvasási elérését az egyetemes koordinált idő (UTC) szerint.

A meglévő blobok olvasására két lehetséges művelet használható. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Művelet felvétele

Válassza a Művelet hozzáadása lehetőséget, majd csak a Blob-alművelet olvasása lehetőséget az alábbi táblázatban látható módon.

Művelet Aloperáció
Minden olvasási művelet Blob olvasása

Ne válassza ki a legfelső szintű Minden olvasási művelet vagy bármely más alműveletet az alábbi képen látható módon:

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen csak az olvasási művelet kijelölése látható.

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Beállítás Érték
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték container1
Logikai operátor 'ÉS'
Attribútumforrás Environment
Attribútum UtcNow
Operátor DateTimeGreaterThan
Érték 2023-05-01T13:00:00.000Z

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen egy adott dátum és időpont után engedélyezett olvasási hozzáférés látható.

Példa: Adott tárolók blobokhoz való hozzáférésének engedélyezése egy adott alhálózatról

Ez a feltétel csak a virtuális hálózat virtualnetwork1alhálózatából default engedélyezi a container1 blobok olvasását, írását, hozzáadását és törlését. Az Alhálózat attribútum ebben a példában való használatához az alhálózatnak engedélyeznie kell az Azure Storage szolgáltatásvégpontjait.

A meglévő blobokhoz való hozzáférés olvasására, írására, hozzáadására és törlésére öt lehetséges művelet áll rendelkezésre. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Művelet felvétele

Válassza a Művelet hozzáadása lehetőséget, majd csak az alábbi táblázatban látható legfelső szintű műveleteket.

Művelet Aloperáció
Minden olvasási művelet N/a
Írás blobba N/a
Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése N/a
Blob törlése N/a

Ne jelöljön ki egyetlen aloperációt sem az alábbi képen látható módon:

Az Azure Portal feltételszerkesztőjének képernyőképe az olvasási, írási, hozzáadási és törlési műveletek kiválasztásával.

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Beállítás Érték
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték container1
Logikai operátor 'ÉS'
Attribútumforrás Environment
Attribútum Alhálózat
Operátor StringEqualsIgnoreCase
Érték /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen egy adott alhálózaton engedélyezett tárolók olvasási hozzáférése látható.

Ehhez a feltételhez olyan blobok olvasására irányuló kérések szükségesek, ahol a blobindexcímkék bizalmasságihigh értéke egy privát hivatkozáson (bármely privát hivatkozáson) keresztüli lehet. Ez azt jelenti, hogy nem engedélyezett minden olyan kísérlet, amely kifejezetten bizalmas blobokat próbál olvasni a nyilvános internetről. A felhasználók a nyilvános internetről olvashatnak olyan blobokat, amelyek bizalmassági beállítása más értékre van beállítva, mint higha .

Az ABAC-mintafeltétel igazságtáblája a következő:

Akció Érzékenység Privát hivatkozás Hozzáférés
Blob olvasása Magas Igen Engedélyezve
Blob olvasása Magas Nem Nem engedélyezett
Blob olvasása NEM magas Igen Engedélyezve
Blob olvasása NEM magas Nem Engedélyezve

A meglévő blobok olvasására két lehetséges művelet használható. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállításokat használhatja a feltétel hozzáadásához az Azure Portal vizualizációs feltételszerkesztőjével.

Művelet felvétele

Válassza a Művelet hozzáadása lehetőséget, majd csak a Blob-alművelet olvasása lehetőséget az alábbi táblázatban látható módon.

Művelet Aloperáció
Minden olvasási művelet Blob olvasása

Ne válassza ki az összes többi alművelet legfelső szintű Összes olvasási műveletét az alábbi képen látható módon:

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen csak az olvasási művelet kijelölése látható.

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Csoport Beállítás Érték
1. csoport
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs sensitivity
Operátor StringEquals
Érték high
Logikai operátor 'ÉS'
Attribútumforrás Environment
Attribútum Privát hivatkozás
Operátor BoolEquals
Érték True
Csoport vége #1
Logikai operátor "VAGY"
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs sensitivity
Operátor StringNotEquals
Érték high

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

Képernyőkép az Azure Portal feltételszerkesztőjének az olvasási hozzáférésről, amely bizalmas adatokhoz szükséges bármilyen privát hivatkozást igényel.

Példa: Tárolóhoz való hozzáférés engedélyezése csak egy adott privát végpontról

Ez a feltétel megköveteli, hogy a blobok olvasási, írási, hozzáadási és törlési műveleteit egy nevesített container1 tárolóban egy privát végponton privateendpoint1keresztül hajtsák végre. A többi nem megnevezett container1tároló esetében a hozzáférésnek nem kell a privát végponton keresztül lennie.

A meglévő blobok olvasására, írására és törlésére öt lehetséges művelet áll rendelkezésre. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.
Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállításokat használhatja a feltétel hozzáadásához az Azure Portal vizualizációs feltételszerkesztőjével.

Művelet felvétele

Válassza a Művelet hozzáadása lehetőséget, majd csak az alábbi táblázatban látható legfelső szintű műveleteket.

Művelet Aloperáció
Minden olvasási művelet N/a
Írás blobba N/a
Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése N/a
Blob törlése N/a

Ne jelöljön ki egyetlen aloperációt sem az alábbi képen látható módon:

Az Azure Portal feltételszerkesztőjének képernyőképe az olvasási, írási, hozzáadási és törlési műveletek kiválasztásával.

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Csoport Beállítás Érték
1. csoport
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringEquals
Érték container1
Logikai operátor 'ÉS'
Attribútumforrás Environment
Attribútum Privát végpont
Operátor StringEqualsIgnoreCase
Érték /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Csoport vége #1
Logikai operátor "VAGY"
Attribútumforrás Erőforrás
Attribútum Tároló neve
Operátor StringNotEquals
Érték container1

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen a blobok olvasása, írása vagy törlése nevesített tárolókban található, privát végpontkörnyezeti attribútummal.

Példa: A bizalmas blobadatok olvasási hozzáférésének engedélyezése csak egy adott privát végpontról és a hozzáféréshez címkézett felhasználók számára

Ez a feltétel megköveteli, hogy az indexcímke-bizalmassági csoporttal high rendelkező blobokat csak azok a felhasználók olvashassák, akiknek megfelelő értékük van a bizalmassági biztonsági attribútumukhoz. Emellett egy magánvégponton privateendpoint1keresztül kell elérni őket. A bizalmassági címkéhez eltérő értékkel rendelkező blobok más végpontokon vagy az interneten keresztül is elérhetők.

A meglévő blobok olvasására két lehetséges művelet használható. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Művelet Jegyzetek
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállításokat használhatja a feltétel hozzáadásához az Azure Portal vizualizációs feltételszerkesztőjével.

Művelet felvétele

Válassza a Művelet hozzáadása lehetőséget, majd csak a Blob-alművelet olvasása lehetőséget az alábbi táblázatban látható módon.

Művelet Aloperáció
Minden olvasási művelet Blob olvasása

Ne válassza ki a legfelső szintű műveletet az alábbi képen látható módon:

Az Azure Portal feltételszerkesztőjének képernyőképe, amelyen egy blobművelet olvasásának kiválasztása látható.

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Csoport Beállítás Érték
1. csoport
Attribútumforrás
Attribútum <attributeset>_<key>
Operátor StringEquals
Lehetőség Attribútum
Logikai operátor 'ÉS'
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs <key>
Logikai operátor 'ÉS'
Attribútumforrás Environment
Attribútum Privát végpont
Operátor StringEqualsIgnoreCase
Érték /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Csoport vége #1
Logikai operátor "VAGY"
Attribútumforrás Erőforrás
Attribútum Blobindex-címkék [Értékek a kulcsban]
Kulcs sensitivity
Operátor StringNotEquals
Érték high

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

Képernyőkép az Azure Portal feltételszerkesztőjéről, amelyen egy adott privát végponton engedélyezett olvasási hozzáférés látható a címkézett felhasználók számára.

Következő lépések