Példa Azure-szerepkör-hozzárendelési feltételekre a Blob Storage-hoz

Ez a cikk néhány példát sorol fel az Azure Blob Storage-hoz való hozzáférés szabályozásához szükséges szerepkör-hozzárendelési feltételekre.

Fontos

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues elérésének szabályozására az request, resource, environment és principal attribútumok használatával, mind a standard, mind a prémium tárfiókok teljesítményszintjeiben. A "list blob" jelenleg előnézeti verzióban tartalmazza a kérésattribútumokat és a pillanatkép-kérés attribútumait a hierarchikus névtérhez. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Előfeltételek

A szerepkör-hozzárendelési feltételek hozzáadásának vagy szerkesztésének előfeltételeiről további információt a Feltételek előfeltételei című témakörben talál.

A cikkben szereplő példák összefoglalása

Az alábbi táblázat segítségével gyorsan megtalálhatja az ABAC-forgatókönyvnek megfelelő példát. A táblázat tartalmazza a forgatókönyv rövid leírását, valamint a példában forrás (környezet, egyszerű, kérelem és erőforrás) által használt attribútumok listáját.

Példa	Környezet	Igazgató	Kérelem	Erőforrás
Blobok olvasása blobindexcímkével				címkék
Az új blobok blobindexcímkét kell tartalmazniuk			címkék
A meglévő bloboknak blobindexcímkekulcsokkal kell rendelkezniük			címkék
A meglévő bloboknak blobindexcímke-kulcssal és értékekkel kell rendelkezniük			címkék
Blobok olvasása, írása vagy törlése nevesített tárolókban				tároló neve
Blobok olvasása elnevezett tárolókban egy elérési úton keresztül				tároló neve blob elérési útvonal
Blobok olvasása vagy listázása elnevezett tárolókban elérési úttal			blobelőtag	tároló neve blob elérési útvonal
Blobok írása elérési úttal rendelkező elnevezett tárolókba				tároló neve blob elérési útvonal
Blobok olvasása blobindexcímkével és elérési úttal				címkék blob útvonala
Blobok olvasása a tárolóban adott metaadatokkal				tároló metaadatai
Blobok írása vagy törlése a tárolóban adott metaadatokkal				tároló metaadatai
Csak az aktuális blobverziók olvasása				aktuális verzió
Olvass el aktuális blobverziókat és egy adott blobverziót			versionId	aktuális verzió
Régi blobverziók törlése			versionId
Az aktuális blobverziók és a blob pillanatképeinek olvasása			pillanatkép	aktuális verzió
Engedélyezze a blobműveletekhez a metaadatok, pillanatképek vagy verziók listázását			tömbök listázása beleértve
A blobok listájának működésének korlátozása, hogy ne tartalmazzanak blob-metaadatokat			tömbök listázása beleértve
Csak a hierarchikus névtérrel rendelkező tárfiókok olvasása				isHnsEnabled
Adott titkosítási hatókörrel rendelkező blobok olvasása				Titkosítási hatókör neve
Blobok olvasása vagy írása nevesített tárfiókban, meghatározott titkosítási hatókörrel				Tárfiók neve Titkosítási hatókör neve
Blobok olvasása vagy írása blobindexcímkék és egyéni biztonsági attribútumok alapján		azonosító	címkék	címkék
Blobok olvasása blobindexcímkék és többértékű egyéni biztonsági attribútumok alapján		azonosító		címkék
A blobok olvasási hozzáférésének engedélyezése egy adott dátum és időpont után	UtcNow			tároló neve
Adott tárolók blobokhoz való hozzáférésének engedélyezése egy adott alhálózatról	Alhálózat			tároló neve
Nagy bizalmasságú olvasási blobok privát hivatkozáshoz való hozzáférésének megkövetelése	isPrivateLink			címkék
Tárolóhoz való hozzáférés engedélyezése csak egy adott privát végpontról	Privát végpont			tároló neve
Példa: A bizalmas blobadatok olvasási hozzáférésének engedélyezése csak egy adott privát végpontról és a hozzáféréshez címkézett felhasználók számára	Privát végpont	azonosító		címkék

Blob-index címkék

Ez a szakasz példákat tartalmaz a blobindex-címkékre.

Fontos

Bár az Read content from a blob with tag conditions alművelet jelenleg támogatott az ABAC szolgáltatás előzetes verziójában implementált feltételekkel való kompatibilitáshoz, elavult, és a Microsoft inkább a Read a blob művelet használatát javasolja.

Ha az Azure portálon konfigurálja az ABAC-feltételeket, előfordulhat, hogy ezt látja: ELAVULT: Tartalom olvasása egy blobból címkefeltételekkel. A Microsoft azt javasolja, hogy távolítsa el a műveletet, és cserélje le a Read a blob műveletre.

Ha saját feltételt hoz létre, ahol címkefeltételek szerint szeretné korlátozni az olvasási hozzáférést, tekintse meg a Példa: Blobok olvasása blobindex-címkével.

Példa: Blobok olvasása blobindexcímkével

Ez a feltétel lehetővé teszi, hogy a felhasználók a Project blob index címkéjének kulcsával és a Cascade értékkel olvassák a blobokat. A kulcs-érték címke nélküli blobok elérésére tett kísérletek nem engedélyezettek.

Annak érdekében, hogy ez a feltétel érvényes legyen egy biztonsági főszereplő számára, hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amelyek a következő műveleteket tartalmazzák:

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A blobok olvasási hozzáférését ábrázoló állapotdiagram blobindexcímkével.

A feltétel hozzáadható egy szerepkör-hozzárendeléshez az Azure Portal vagy az Azure PowerShell használatával. A portál két eszközzel rendelkezik az ABAC-feltételek létrehozásához : a vizualizációszerkesztő és a kódszerkesztő. Az Azure Portal két szerkesztője között váltva különböző nézetekben tekintheti meg a feltételeket. Váltson a Vizualizációszerkesztő lap és a Kódszerkesztő lap között az előnyben részesített portálszerkesztő példáinak megtekintéséhez.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portal vizualizációszerkesztőjével.

1. feltétel	Beállítás
Műveletek	Blob olvasása
Attribútumforrás	erőforrás
Attribútum	Blobindex-címkék [Értékek a kulcsban]
Kulcs	{keyName}
Operátor	StringEquals
Érték	{keyValue}

Ha a feltételt a kódszerkesztővel szeretné hozzáadni, másolja ki a feltételkódmintát, és illessze be a kódszerkesztőbe. A kód beírása után váltson vissza a vizualizációszerkesztőre az ellenőrzéshez.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Ebben a példában a feltétel korlátozza az olvasási műveletet, kivéve, ha az alművelet .Blob.List Ez azt jelenti, hogy a Listablobok művelet engedélyezve van, de az összes többi olvasási művelet tovább lesz értékelve a blobindex címkéjét ellenőrző kifejezéssel.

Ha egy felhasználó olyan műveletet kísérel meg végrehajtani a hozzárendelt szerepkörben, amely nem a feltétel által korlátozott művelet, akkor az !(ActionMatches) kiértékelése igazra változik, és a teljes feltétel értéke is igaz lesz. Ez az eredmény lehetővé teszi a művelet végrehajtását.

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Példa: Az új blobok blobindexcímkét kell tartalmazniuk

Ehhez a feltételhez minden új blobnak tartalmaznia kell egy Project blobindexcímke kulcsot és egy Cascade értéket.

Két művelet teszi lehetővé új blobok létrehozását, ezért mindkettőt meg kell céloznia. Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletek egyikét tartalmazza:

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Az új blobokat ábrázoló állapotdiagramnak blobindexcímkét kell tartalmaznia.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Írás blobba a blob-index címkékkel Írás blobba a blob-index címkékkel
Attribútumforrás	Kérelem
Attribútum	Blobindex-címkék [Értékek a kulcsban]
Kulcs	{keyName}
Operátor	StringEquals
Érték	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Példa: A meglévő bloboknak blobindexcímkés kulcsokkal kell rendelkezniük

Ehhez a feltételhez minden meglévő blobot legalább egy engedélyezett blob index címke kulccsal kell ellátni: Project vagy Program. Ez a feltétel hasznos lehet a meglévő blobok szabályozásának hozzáadásához.

Két művelet lehetővé teszi címkék frissítését a meglévő blobokon, ezért mindkettőt meg kell céloznia. Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletek egyikét tartalmazza:

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A meglévő blobokat ábrázoló állapotdiagramnak blobindexcímkével kell rendelkeznie.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Írás blobba a blob-index címkékkel Blobindex-címkék írása
Attribútumforrás	Kérelem
Attribútum	Blobindex-címkék [Kulcsok]
Operátor	ForAllOfAnyValues:StringEquals
Érték	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Példa: A meglévő bloboknak blobindexcímkekulcsot és értékeket kell tartalmazniuk

Ehhez a feltételhez minden meglévő blobnak rendelkeznie kell a Project blobindex-címkekulcsával , valamint a Cascade, Baker vagy Skagit értékekkel. Ez a feltétel hasznos lehet a meglévő blobok szabályozásának hozzáadásához.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A meglévő blobokat ábrázoló állapotdiagramnak blobindexcímkével és értékekkel kell rendelkeznie.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Írás blobba a blob-index címkékkel Blobindex-címkék írása
Attribútumforrás	Kérelem
Attribútum	Blobindex-címkék [Kulcsok]
Operátor	ForAnyOfAnyValues:StringEquals
Érték	{keyName}
Operátor	és
Kifejezés 2
Attribútumforrás	Kérelem
Attribútum	Blobindex-címkék [Értékek a kulcsban]
Kulcs	{keyName}
Operátor	ForAllOfAnyValues:StringEquals
Érték	{keyValue1} {keyValue2} {kulcsÉrték3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Blobtárolók nevei vagy elérési útjai

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést a tárolónév vagy a blob elérési útja alapján.

Példa: Blobok olvasása, írása vagy törlése nevesített tárolókban

Ez a feltétel lehetővé teszi, hogy a felhasználók blobokat olvassanak, írjanak vagy töröljenek a blobok-example-container nevű tárolókban. Ez a feltétel akkor hasznos, ha adott tárolókat oszt meg az előfizetés többi felhasználójával.

A meglévő blobok olvasására, írására és törlésére öt művelet használható. Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletek egyikét tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert. Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

Ebben a feltételben az aloperációk nem használhatók, mert az aloperációra csak akkor van szükség, ha a feltételek címkék alapján vannak megadva.

Az elnevezett tárolókban lévő blobok olvasását, írását vagy törlését ábrázoló állapotdiagram.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob törlése Blob olvasása Blob megírása Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	erőforrás
Attribútum	Tároló neve
Operátor	StringEquals
Érték	{containerName}

Tárolási Blob Adattulajdonos

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Storage Blob Adat-közreműködő

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Példa: Blobok olvasása elnevezett tárolókban meghatározott elérési úttal

Ez a feltétel lehetővé teszi az olvasási hozzáférést az olyan tárolókhoz, amelyek neve 'blobs-example-container', és a blob elérési útjuk 'readonly/*'. Ez a feltétel akkor hasznos, ha a tárolók meghatározott részeit osztja meg olvasási hozzáférés céljából az előfizetés többi felhasználójával.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert. Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

A blobok olvasási hozzáférését ábrázoló állapotdiagram nevesített tárolókban egy elérési úttal.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	erőforrás
Attribútum	Tároló neve
Operátor	StringEquals
Érték	{containerName}
Kifejezés 2
Operátor	és
Attribútumforrás	erőforrás
Attribútum	Blob elérési útja
Operátor	StringLike
Érték	{pathString}

Tárolási Blob Adattulajdonos

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Példa: Blobok olvasása vagy listázása elnevezett tárolókban elérési úttal

Ez a feltétel lehetővé teszi az olvasási hozzáférést és a listázási hozzáférést a blob-example-container nevű tárolókhoz, a readonly/*.blob elérési úttal. Az 1. feltétel a listablobok kivételével az olvasási műveletekre vonatkozik. A 2. feltétel listablobokra vonatkozik. Ez a feltétel akkor hasznos, ha a tárolók adott részeit osztja meg olvasási vagy listahozzáférés céljából az előfizetés többi felhasználójával.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert. Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

Egy elérési úttal rendelkező nevesített tárolók blobjainak olvasási és listázási hozzáférését ábrázoló állapotdiagram.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

Megjegyzés

Az Azure Portal a prefix='' előtagot használja a tároló gyökérkönyvtárából származó blobok listázásához. Miután hozzáadta a feltételt a listablobok műveletéhez a StringStartsWith "readonly/" előtaggal, a megcélzott felhasználók nem tudják listázni a blobokat a tároló gyökérkönyvtárából az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	erőforrás
Attribútum	Tároló neve
Operátor	StringEquals
Érték	{containerName}
Kifejezés 2
Operátor	és
Attribútumforrás	erőforrás
Attribútum	Blob elérési útja
Operátor	StringStartsWith
Érték	{pathString}

2. feltétel	Beállítás
Műveletek	Blobok listázása A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	erőforrás
Attribútum	Tároló neve
Operátor	StringEquals
Érték	{containerName}
Kifejezés 2
Operátor	és
Attribútumforrás	Kérelem
Attribútum	Blob előtag
Operátor	StringStartsWith
Érték	{pathString}

Tárolási Blob Adattulajdonos

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: Blobok írása elnevezett tárolókba egy megadott elérési úton

Ez a feltétel lehetővé teszi, hogy egy partner (a Microsoft Entra vendégfelhasználója) fájlokat helyezzen a Contosocorp nevű tárolókba a feltöltések/contoso/* elérési útjával. Ez a feltétel akkor hasznos, ha lehetővé teszi más felhasználók számára az adatok tárolókba helyezését.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert. Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

A blobok írási hozzáférését ábrázoló állapotdiagram nevesített tárolókban egy elérési úttal.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob megírása Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	erőforrás
Attribútum	Tároló neve
Operátor	StringEquals
Érték	{containerName}
Kifejezés 2
Operátor	és
Attribútumforrás	erőforrás
Attribútum	Blob elérési útja
Operátor	StringLike
Érték	{pathString}

Tárolási Blob Adattulajdonos

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Storage Blob Adat-közreműködő

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Példa: Blobok olvasása blobindexcímkével és elérési úttal

Ez a feltétel lehetővé teszi, hogy a felhasználó blobokat olvasson, amelyek blobindexcímkéjének kulcsa Program, értéke Alpine, és blobútvonala logs*. A naplók blobútvonala* a blob nevét is tartalmazza.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A blobok olvasási hozzáférését ábrázoló állapotdiagram blobindexcímkével és elérési úttal.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása
Attribútumforrás	erőforrás
Attribútum	Blobindex-címkék [Értékek a kulcsban]
Kulcs	{keyName}
Operátor	StringEquals
Érték	{keyValue}

2. feltétel	Beállítás
Műveletek	Blob olvasása
Attribútumforrás	erőforrás
Attribútum	Blob elérési útja
Operátor	StringLike
Érték	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Az alábbiakban bemutatjuk, hogyan teszteljük ezt a feltételt.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Blobtároló metaadatai

Példa: Blobok olvasása a tárolóban adott metaadatokkal

Ez a feltétel lehetővé teszi, hogy a felhasználók egy adott metaadat-kulcs/érték pár használatával olvassák a blobtárolókban lévő blobokat.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása
Attribútumforrás	erőforrás
Attribútum	Tároló metaadatai
Operátor	StringEquals
Érték	{containerName}

Tárolási blobadatok olvasó

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Példa: Blobok írása vagy törlése a tárolóban adott metaadatokkal

Ez a feltétel lehetővé teszi, hogy a felhasználók blobokat írjanak vagy töröljenek a blobtárolókban egy adott metaadatkulcs/érték pár használatával.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob megírása Blob törlése
Attribútumforrás	erőforrás
Attribútum	Tároló metaadatai
Operátor	StringEquals
Érték	{containerName}

Storage Blob Adat-közreműködő

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon veheti fel ezt a feltételt az Azure PowerShell használatával.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Blob-verziók vagy blob-pillanatképek

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést a blobverzió vagy a pillanatkép alapján.

Példa: Csak az aktuális blobverziók olvasása

Ez a feltétel lehetővé teszi, hogy a felhasználó csak az aktuális blobverziókat olvassa. A felhasználó nem tud olvasni más blobverziókat.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A csak az aktuális blobverzióhoz való olvasási hozzáférést ábrázoló feltételdiagram.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	erőforrás
Attribútum	Aktuális verzió
Operátor	BoolEquals
Érték	Igaz

Tárolási Blob Adattulajdonos

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: Az aktuális blobverziók és egy adott blobverzió olvasása

Ez a feltétel lehetővé teszi a felhasználó számára a blobok aktuális verzióinak olvasását, valamint a 2022-06-01T23:38:32.8883645Z verzióazonosítójú blobok olvasását. A felhasználó nem tud olvasni más blobverziókat. A Verzióazonosító attribútum csak olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Egy adott blobverzió olvasási hozzáférését ábrázoló feltételdiagram.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása
Attribútumforrás	Kérelem
Attribútum	Verzióazonosító
Operátor	DateTimeEquals
Érték	<blobVersionId>
Kifejezés 2
Operátor	Vagy
Attribútumforrás	erőforrás
Attribútum	Aktuális verzió
Operátor	BoolEquals
Érték	Igaz

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Ebben a példában a feltétel korlátozza az olvasási műveletet, kivéve, ha az alművelet .Blob.List Ez azt jelenti, hogy a Listablobok művelet engedélyezve van, de a rendszer az összes többi olvasási műveletet tovább értékeli a verzióinformációkat ellenőrző kifejezéssel.

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: Régi blobverziók törlése

Ezzel a feltételsel a felhasználó törölheti a 2022. 01. 06-nál régebbi blobverziókat a törlés végrehajtásához. A Verzióazonosító attribútum csak olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

A régi blobverziókhoz való törlési hozzáférést ábrázoló feltételdiagram.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob törlése Egy blob verziójának törlése
Attribútumforrás	Kérelem
Attribútum	Verzióazonosító
Operátor	DateTimeLessThan
Érték	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: Az aktuális blobverziók és a blobok pillanatképeinek olvasása

Ez a feltétel lehetővé teszi, hogy a felhasználó elolvassa az aktuális blobverziókat és a blob pillanatképeit. A Verzióazonosító attribútum csak olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve. A Snapshot attribútum olyan tárfiókok esetében érhető el, ahol a hierarchikus névtér nincs engedélyezve, és jelenleg előzetes verzióban érhető el azokhoz a tárfiókokhoz, ahol engedélyezve van a hierarchikus névtér.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Az aktuális blobverziókhoz és blob-pillanatképekhez való olvasási hozzáférést ábrázoló állapotdiagram.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	Kérelem
Attribútum	pillanatkép-
Létezik	Ellenőrizve
Kifejezés 2
Operátor	Vagy
Attribútumforrás	erőforrás
Attribútum	Aktuális verzió
Operátor	BoolEquals
Érték	Igaz

Tárolási Blob Adattulajdonos

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: Engedélyezze a blobok listázását, hogy azok metaadatait, pillanatképeit vagy verzióit is beleértse.

Ez a feltétel lehetővé teszi, hogy a felhasználó listázhassa a tárolóban lévő blobokat, és metaadatokat, pillanatképeket és verzióinformációkat tartalmazzon. A Listablobok tartalmaz attribútum olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Megjegyzés

A listablobok belefoglalása egy kérelemattribútum, és úgy működik, hogy engedélyezi vagy korlátozza a paraméter értékeit a includeListablobok művelet meghívásakor. A paraméter értékeit include a rendszer összehasonlítja a feltételben megadott értékekkel termék-összehasonlító operátorok használatával. Ha az összehasonlítás értéke igaz, a List Blobs kérés engedélyezve van. Ha az összehasonlítás hamisnak számít, a rendszer megtagadja a kérést List Blobs .

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blobok listázása
Attribútumforrás	Kérelem
Attribútum	A listán szereplő blobok:
Operátor	MindenÉrtéknél:SzövegEgyenlőségEsetérzékenyNélkül
Érték	{'metadaták', 'pillanatfelvételek', 'verziók'}

Tárolási blobadatok olvasó

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

Ebben a példában a feltétel korlátozza az olvasási műveletet, ha az alművelet .Blob.List Ez azt jelenti, hogy a Listablobok művelet tovább lesz értékelve az include értékeket ellenőrző kifejezéssel, de minden más olvasási művelet engedélyezett.

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: A listablob műveletének korlátozása a blob metaadatainak kizárására

Ez a feltétel megakadályozza a felhasználót abban, hogy blobokat soroljon fel, ha a kérésben metaadatok is szerepelnek. A Listablobok tartalmaz attribútum olyan tárfiókokhoz érhető el, ahol a hierarchikus névtér nincs engedélyezve.

Megjegyzés

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blobok listázása
Attribútumforrás	Kérelem
Attribútum	A listán szereplő blobok:
Operátor	ForAllOfAllValues:StringNotEquals
Érték	{'metadata'}

Tárolási blobadatok olvasó

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Hierarchikus névtér

Ez a szakasz példákat tartalmaz az objektumokhoz való hozzáférés korlátozására annak alapján, hogy engedélyezve van-e a hierarchikus névtér egy tárfiókhoz.

Példa: Csak a hierarchikus névtérrel rendelkező tárfiókok olvasása

Ez a feltétel lehetővé teszi a felhasználó számára, hogy csak a hierarchikus névtérrel rendelkező tárfiókokban lévő blobokat olvassa. Ez a feltétel csak az erőforráscsoport hatókörében vagy annál magasabb szinten alkalmazható.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

A hierarchikus névtérrel rendelkező tárfiókok olvasási hozzáférését bemutató feltétel diagramja.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása A hierarchikus névtérrel rendelkező fiókok összes adatművelete engedélyezett (ha van)
Attribútumforrás	erőforrás
Attribútum	Engedélyezve van a hierarchikus névtér?
Operátor	BoolEquals
Érték	Igaz

Tárolási Blob Adattulajdonos

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Ebben a példában a feltétel korlátozza az olvasási műveletet, kivéve, ha az alművelet .Blob.List Ez azt jelenti, hogy a Listablobok művelet engedélyezett, de a rendszer az összes többi olvasási műveletet tovább értékeli a hierarchikus névteret ellenőrző kifejezéssel.

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Titkosítási hatókör

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja a jóváhagyott titkosítási hatókörrel rendelkező objektumokhoz való hozzáférést.

Példa: Adott titkosítási hatókörrel rendelkező blobok olvasása

Ez a feltétel lehetővé teszi, hogy a felhasználó elolvassa az adatblokkokat, amelyek titkosítási hatókörrel validScope1 vagy validScope2 vannak titkosítva.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Állapotdiagram a blobok olvasási hozzáféréséről a validScope1 vagy a validScope2 titkosítási hatókörrel.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása
Attribútumforrás	erőforrás
Attribútum	Titkosítási hatókör neve
Operátor	ForAnyOfAnyValues:StringEquals
Érték	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: Blobok olvasása vagy írása nevesített tárfiókban, meghatározott titkosítási hatókörrel

Ez a feltétel lehetővé teszi, hogy a felhasználó egy titkosítási hatókörrel sampleaccountellátott, elnevezett ScopeCustomKey1 és titkosított tárfiókban tudjon blobokat olvasni vagy írni. Ha a blobok nincsenek a szerver által ScopeCustomKey1 titkosítva vagy visszafejtve, a kérés megtagadva tér vissza.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Megjegyzés

Mivel a különböző tárfiókok titkosítási hatókörei eltérőek lehetnek, javasoljuk, hogy az storageAccounts:name attribútumot az attribútummal együtt encryptionScopes:name használva korlátozza az adott titkosítási hatókört.

A blobokhoz való olvasási vagy írási hozzáférést bemutató állapotdiagram a Sampleaccount Storage-fiókban a ScopeCustomKey1 titkosítási hatókörrel.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Blob olvasása Blob megírása Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése
Attribútumforrás	erőforrás
Attribútum	fióknév
Operátor	StringEquals
Érték	<fióknév>
Kifejezés 2
Operátor	és
Attribútumforrás	erőforrás
Attribútum	Titkosítási hatókör neve
Operátor	ForAnyOfAnyValues:StringEquals
Érték	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Fő attribútumok

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést egyéni biztonsági tagok alapján.

Példa: Blobok olvasása vagy írása blobindexcímkék és egyéni biztonsági attribútumok alapján

Ez a feltétel olvasási vagy írási hozzáférést tesz lehetővé a blobokhoz, ha a felhasználó egyéni biztonsági attribútummal rendelkezik, amely megfelel a blobindex címkéjének.

Ha például Brenda attribútummal Project=Bakerrendelkezik, csak a Project=Baker blobindex címkével rendelkező blobokat tud olvasni vagy írni. Hasonlóképpen, a Chandra csak a blobokat tudja olvasni vagy írni Project=Cascade segítségével.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveleteket tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

További információ: A blobok olvasási hozzáférésének engedélyezése címkék és egyéni biztonsági attribútumok alapján.

A blobok írási és olvasási hozzáférését bemutató állapotdiagram blobindexcímkék és egyéni biztonsági attribútumok alapján.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Egy blob feltételek olvasása
Attribútumforrás	Iskola igazgatója
Attribútum	<attributeset>_<key>
Operátor	StringEquals
Lehetőség	Attribútum
Attribútumforrás	erőforrás
Attribútum	Blobindex-címkék [Értékek a kulcsban]
Kulcs	<kulcs>

2. feltétel	Beállítás
Műveletek	Írás blobba a blob-index címkékkel Írás blobba a blob-index címkékkel
Attribútumforrás	Iskola igazgatója
Attribútum	<attributeset>_<key>
Operátor	StringEquals
Lehetőség	Attribútum
Attribútumforrás	Kérelem
Attribútum	Blobindex-címkék [Értékek a kulcsban]
Kulcs	<kulcs>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Példa: Blobok olvasása blobindexcímkék és többértékű egyéni biztonsági attribútumok alapján

Ez a feltétel lehetővé teszi a blobok olvasási hozzáférését, ha a felhasználó egyéni biztonsági attribútummal rendelkezik a blobindex címkéjének megfelelő értékekkel.

Ha például Chandra a Project attribútummal a Baker és Cascade értékekkel rendelkezik, akkor csak azokat a blobokat tudja olvasni, amelyek a Project=Baker vagy a Project=Cascade blobindex címkéjét tartalmazzák.

Ezt a feltételt minden olyan szerepkör-hozzárendeléshez hozzá kell adnia, amely az alábbi műveletet tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

További információ: A blobok olvasási hozzáférésének engedélyezése címkék és egyéni biztonsági attribútumok alapján.

A blobok olvasási hozzáférését ábrázoló állapotdiagram blobindexcímkék és többértékű egyéni biztonsági attribútumok alapján.

Az alábbi beállítások segítségével adhatja hozzá ezt a feltételt az Azure Portalon.

1. feltétel	Beállítás
Műveletek	Egy blob feltételek olvasása
Attribútumforrás	erőforrás
Attribútum	Blobindex-címkék [Értékek a kulcsban]
Kulcs	<kulcs>
Operátor	ForAnyOfAnyValues:StringEquals
Lehetőség	Attribútum
Attribútumforrás	Iskola igazgatója
Attribútum	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Ebben a példában a feltétel korlátozza az olvasási műveletet, kivéve, ha az alművelet .Blob.List Ez azt jelenti, hogy a Listablobok művelet engedélyezve van, de a többi olvasási művelet tovább lesz értékelve a blobindexcímkéket és az egyéni biztonsági attribútumokat ellenőrző kifejezéssel.

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

Környezeti attribútumok

Ez a szakasz példákat tartalmaz, amelyek bemutatják, hogyan korlátozhatja az objektumokhoz való hozzáférést a hálózati környezet vagy az aktuális dátum és idő alapján.

Példa: A blobok olvasási hozzáférésének engedélyezése egy adott dátum és idő után

Ez a feltétel csak 2023. május 1-jén 13:00 óra után teszi lehetővé a blobtárolók container1 olvasási elérését az egyetemes koordinált idő (UTC) szerint.

A meglévő blobok olvasására két lehetséges művelet használható. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Akció hozzáadása

Válassza a Művelet hozzáadása lehetőséget, majd csak a Blob-alművelet olvasása lehetőséget az alábbi táblázatban látható módon.

Cselekvés	Altevékenység
Minden olvasási művelet	Blob olvasása

Ne válassza ki a legfelső szintű Minden olvasási művelet vagy bármely más alműveletet az alábbi képen látható módon:

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Beállítás Érték

Attribútumforrás erőforrás

Attribútum Tároló neve

Operátor StringEquals

Érték container1

Logikai operátor 'ÉS'

Attribútumforrás Környezet

Attribútum UtcNow

Operátor DateTimeGreaterThan

Érték 2023-05-01T13:00:00.000Z

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

A feltétel kódszerkesztővel való hozzáadásához másolja ki a következő feltételkódmintát, és illessze be a kódszerkesztőbe. A kód beírása után váltson vissza a vizualizációszerkesztőre az ellenőrzéshez.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon adhatja hozzá ezt a feltételt a Storage Blob Data Reader szerepkörhöz az Azure PowerShell használatával.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Példa: Adott tárolók blobokhoz való hozzáférésének engedélyezése egy adott alhálózatról

Ez a feltétel csak a virtuális hálózat container1alhálózatából default engedélyezi a virtualnetwork1 blobok olvasását, írását, hozzáadását és törlését. Az Alhálózat attribútum ebben a példában való használatához az alhálózatnak engedélyeznie kell az Azure Storage szolgáltatásvégpontjait .

A meglévő blobokhoz való hozzáférés olvasására, írására, hozzáadására és törlésére öt lehetséges művelet áll rendelkezésre. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Akció hozzáadása

Válassza a Művelet hozzáadása lehetőséget, majd csak az alábbi táblázatban látható legfelső szintű műveleteket.

Cselekvés	Altevékenység
Minden olvasási művelet	N/a
Írás egy blob fájlba	N/a
Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése	N/a
Blob törlése	N/a

Ne jelöljön ki egyetlen aloperációt sem az alábbi képen látható módon:

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Beállítás Érték

Attribútumforrás erőforrás

Attribútum Tároló neve

Operátor StringEquals

Érték container1

Logikai operátor 'ÉS'

Attribútumforrás Környezet

Attribútum Alhálózat

Operátor StringEqualsIgnoreCase

Érték /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon adhatja hozzá ezt a feltételt a Storage Blob Data Contributor szerepkörhöz az Azure PowerShell használatával.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Példa: Privát kapcsolati hozzáférés megkövetelése nagy érzékenységű blobok olvasásához

Ehhez a feltételhez olyan blobok olvasására irányuló kérések szükségesek, ahol a blobindexcímkék bizalmasságihigh értéke egy privát hivatkozáson (bármely privát hivatkozáson) keresztüli lehet. Ez azt jelenti, hogy nem engedélyezett minden olyan kísérlet, amely kifejezetten bizalmas blobokat próbál olvasni a nyilvános internetről. A felhasználók a nyilvános internetről olvashatnak olyan blobokat, amelyek érzékenység beállítása különbözik a high-től.

Az ABAC-mintafeltétel igazságtáblája a következő:

Akció	Érzékenység	Privát hivatkozás	Hozzáférés
Blob olvasása	magas	Igen	Megengedett
Blob olvasása	magas	Nem	Tilos
Blob olvasása	NEM magas	Igen	Megengedett
Blob olvasása	NEM magas	Nem	Megengedett

Cselekvés Jegyzetek

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Az alábbi beállításokat használhatja a feltétel hozzáadásához az Azure Portal vizualizációs feltételszerkesztőjével.

Akció hozzáadása

Válassza a Művelet hozzáadása lehetőséget, majd csak a Blob-alművelet olvasása lehetőséget az alábbi táblázatban látható módon.

Cselekvés	Altevékenység
Minden olvasási művelet	Blob olvasása

Ne válassza ki az összes többi alművelet legfelső szintű Összes olvasási műveletét az alábbi képen látható módon:

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Csoport Beállítás Érték

1. csoport

Attribútumforrás erőforrás

Attribútum Blobindex-címkék [Értékek a kulcsban]

Kulcs sensitivity

Operátor StringEquals

Érték high

Logikai operátor ÉS

Attribútumforrás Környezet

Attribútum Privát hivatkozás

Operátor BoolEquals

Érték True

Csoport vége #1

Logikai operátor "VAGY"

Attribútumforrás erőforrás

Attribútum Blobindex-címkék [Értékek a kulcsban]

Kulcs sensitivity

Operátor StringNotEquals

Érték high

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Ebben a példában a feltétel korlátozza az olvasási műveletet, kivéve, ha az alművelet .Blob.List Ez azt jelenti, hogy a List Blobs művelet engedélyezett, de minden más olvasási művelet további kifejezéssel történő kiértékelés alá kerül.

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon adhatja hozzá ezt a feltételt a Storage Blob Data Reader szerepkörhöz az Azure PowerShell használatával.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Példa: Tárolóhoz való hozzáférés engedélyezése csak egy adott privát végpontról

Ez a feltétel megköveteli, hogy a blobok olvasási, írási, hozzáadási és törlési műveleteit egy nevesített container1 tárolóban egy privát végponton privateendpoint1keresztül hajtsák végre. A többi nem megnevezett container1tároló esetében a hozzáférésnek nem kell a privát végponton keresztül lennie.

A meglévő blobok olvasására, írására és törlésére öt lehetséges művelet áll rendelkezésre. Ahhoz, hogy ez a feltétel hatékony legyen a több szerepkör-hozzárendeléssel rendelkező tagok számára, ezt a feltételt hozzá kell adnia az összes olyan szerepkör-hozzárendeléshez, amely az alábbi műveletek bármelyikét tartalmazza.

Cselekvés	Jegyzetek
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert. Adja hozzá, ha az ebben a feltételben szereplő tárfiókok engedélyezve vannak a hierarchikus névtérrel, vagy a jövőben engedélyezve lesznek.

Az alábbi beállításokat használhatja a feltétel hozzáadásához az Azure Portal vizualizációs feltételszerkesztőjével.

Akció hozzáadása

Válassza a Művelet hozzáadása lehetőséget, majd csak az alábbi táblázatban látható legfelső szintű műveleteket.

Cselekvés	Altevékenység
Minden olvasási művelet	N/a
Írás egy blob fájlba	N/a
Blob vagy pillanatkép létrehozása vagy adatok hozzáfűzése	N/a
Blob törlése	N/a

Ne jelöljön ki egyetlen aloperációt sem az alábbi képen látható módon:

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Csoport Beállítás Érték

1. csoport

Attribútumforrás erőforrás

Attribútum Tároló neve

Operátor StringEquals

Érték container1

Logikai operátor ÉS

Attribútumforrás Környezet

Attribútum privát végpont

Operátor StringEqualsIgnoreCase

Érték /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Csoport vége #1

Logikai operátor "VAGY"

Attribútumforrás erőforrás

Attribútum Tároló neve

Operátor StringNotEquals

Érték container1

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

Az Azure Portal feltételszerkesztőjének képernyőképe, amely a blobok olvasását, írását vagy törlését mutatja nevesített tárolókban a privát végpontkörnyezeti attribútummal.

Ha a feltételt a kódszerkesztővel szeretné hozzáadni, válasszon az alábbi feltételkódminták közül a hozzárendeléshez társított szerepkörtől függően. A kód beírása után váltson vissza a vizualizációszerkesztőre az ellenőrzéshez.

Storage Blob-adatok tulajdonosa:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Tárolási blobadatok közreműködője:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon adhatja hozzá ezt a feltételt a Storage Blob Data Contributor szerepkörhöz az Azure PowerShell használatával.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Példa: A bizalmas blobadatok olvasási hozzáférésének engedélyezése csak egy adott privát végpontról és a hozzáféréshez címkézett felhasználók számára

Ez a feltétel megköveteli, hogy az érzékenység indexcímkével high rendelkező blobokat csak azok a felhasználók olvashassák, akik rendelkeznek a megfelelő értékkel a érzékenységi biztonsági attribútumukhoz. Emellett egy magánvégponton privateendpoint1keresztül kell elérni őket. A bizalmassági címkéhez eltérő értékkel rendelkező blobok más végpontokon vagy az interneten keresztül is elérhetők.

Cselekvés Jegyzetek

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adja hozzá, ha a szerepkördefiníció tartalmazza ezt a műveletet, például a Storage Blob Data Ownert.

Az alábbi beállításokat használhatja a feltétel hozzáadásához az Azure Portal vizualizációs feltételszerkesztőjével.

Akció hozzáadása

Válassza a Művelet hozzáadása lehetőséget, majd csak a Blob-alművelet olvasása lehetőséget az alábbi táblázatban látható módon.

Cselekvés	Altevékenység
Minden olvasási művelet	Blob olvasása

Ne válassza ki a legfelső szintű műveletet az alábbi képen látható módon:

Kifejezés összeállítása

A feltétel kifejezésrészének összeállításához használja az alábbi táblázatban szereplő értékeket:

Csoport	Beállítás	Érték
1. csoport
	Attribútumforrás	Iskola igazgatója
	Attribútum	<attributeset>_<key>
	Operátor	StringEquals
	Lehetőség	Attribútum
	Logikai operátor	ÉS
	Attribútumforrás	erőforrás
	Attribútum	Blobindex-címkék [Értékek a kulcsban]
	Kulcs	<kulcs>
	Logikai operátor	ÉS
	Attribútumforrás	Környezet
	Attribútum	privát végpont
	Operátor	StringEqualsIgnoreCase
	Érték	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Csoport vége #1
	Logikai operátor	"VAGY"
	Attribútumforrás	erőforrás
	Attribútum	Blobindex-címkék [Értékek a kulcsban]
	Kulcs	`sensitivity`
	Operátor	StringNotEquals
	Érték	`high`

Az alábbi képen a beállítások Azure Portalra való beírása utáni feltétel látható. A helyes értékelés biztosításához csoportosítania kell a kifejezéseket.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Ha többet szeretne megtudni a feltételek formázásáról és kiértékeléséről, tekintse meg a Feltételek formátumot.

A következő módon adhatja hozzá ezt a feltételt a Storage Blob Data Reader szerepkörhöz az Azure PowerShell használatával.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Következő lépések

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-04-03

Megosztás a következőn keresztül:

Példa Azure-szerepkör-hozzárendelési feltételekre a Blob Storage-hoz

Előfeltételek

A cikkben szereplő példák összefoglalása

Blob-index címkék

Példa: Blobok olvasása blobindexcímkével

Példa: Az új blobok blobindexcímkét kell tartalmazniuk

Példa: A meglévő bloboknak blobindexcímkés kulcsokkal kell rendelkezniük

Példa: A meglévő bloboknak blobindexcímkekulcsot és értékeket kell tartalmazniuk

Blobtárolók nevei vagy elérési útjai

Példa: Blobok olvasása, írása vagy törlése nevesített tárolókban

Példa: Blobok olvasása elnevezett tárolókban meghatározott elérési úttal

Példa: Blobok olvasása vagy listázása elnevezett tárolókban elérési úttal

Példa: Blobok írása elnevezett tárolókba egy megadott elérési úton

Példa: Blobok olvasása blobindexcímkével és elérési úttal

Blobtároló metaadatai

Példa: Blobok olvasása a tárolóban adott metaadatokkal

Példa: Blobok írása vagy törlése a tárolóban adott metaadatokkal

Blob-verziók vagy blob-pillanatképek

Példa: Csak az aktuális blobverziók olvasása

Példa: Az aktuális blobverziók és egy adott blobverzió olvasása

Példa: Régi blobverziók törlése

Példa: Az aktuális blobverziók és a blobok pillanatképeinek olvasása

Példa: Engedélyezze a blobok listázását, hogy azok metaadatait, pillanatképeit vagy verzióit is beleértse.

Példa: A listablob műveletének korlátozása a blob metaadatainak kizárására

Hierarchikus névtér

Példa: Csak a hierarchikus névtérrel rendelkező tárfiókok olvasása

Titkosítási hatókör

Példa: Adott titkosítási hatókörrel rendelkező blobok olvasása

Példa: Blobok olvasása vagy írása nevesített tárfiókban, meghatározott titkosítási hatókörrel

Fő attribútumok

Példa: Blobok olvasása vagy írása blobindexcímkék és egyéni biztonsági attribútumok alapján

Példa: Blobok olvasása blobindexcímkék és többértékű egyéni biztonsági attribútumok alapján

Környezeti attribútumok

Példa: A blobok olvasási hozzáférésének engedélyezése egy adott dátum és idő után

Akció hozzáadása

Kifejezés összeállítása

Példa: Adott tárolók blobokhoz való hozzáférésének engedélyezése egy adott alhálózatról

Akció hozzáadása

Kifejezés összeállítása

Példa: Privát kapcsolati hozzáférés megkövetelése nagy érzékenységű blobok olvasásához

Akció hozzáadása

Kifejezés összeállítása

Példa: Tárolóhoz való hozzáférés engedélyezése csak egy adott privát végpontról

Akció hozzáadása

Kifejezés összeállítása

Példa: A bizalmas blobadatok olvasási hozzáférésének engedélyezése csak egy adott privát végpontról és a hozzáféréshez címkézett felhasználók számára

Akció hozzáadása

Kifejezés összeállítása

Következő lépések

Visszajelzés

További források