Contoh kondisi penetapan peran Azure untuk Blob Storage

Artikel ini mencantumkan beberapa contoh kondisi penetapan peran untuk mengontrol akses ke Azure Blob Storage.

Penting

Kontrol akses berbasis atribut Azure (Azure ABAC) sekarang tersedia secara umum (GA) untuk mengendalikan akses ke Azure Blob Storage, Azure Data Lake Storage Gen2, dan Azure Queues dengan menggunakan atribut request, resource, environment, dan principal pada tingkat kinerja akun penyimpanan standar dan premium. Saat ini, atribut permintaan daftar blob dan atribut permintaan cuplikan untuk namespace hierarkis sedang dalam PRATINJAU. Untuk informasi lengkap tentang status fitur ABAC untuk Azure Storage, lihat Status fitur kondisi di Azure Storage.

Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Prasyarat

Untuk informasi tentang prasyarat untuk menambah atau mengedit kondisi penetapan peran, lihat Prasyarat kondisi.

Ringkasan contoh dalam artikel ini

Gunakan tabel berikut untuk menemukan contoh yang sesuai dengan skenario ABAC Anda dengan cepat. Tabel ini mencakup deskripsi singkat tentang skenario, ditambah daftar atribut yang digunakan dalam contoh menurut sumber (lingkungan, utama, permintaan, dan sumber daya).

Contoh	Lingkungan	Kepala Sekolah	Permohonan	Sumber daya
Membaca berkas dengan tag indeks berkas				Tags
Blob baru harus menyertakan tag indeks blob			Tags
Blob yang sudah ada harus memiliki kunci tag indeks blob			Tags
Blob yang ada harus memiliki tag indeks blob lengkap dengan kuncinya dan nilainya			Tags
Membaca, menulis, atau menghapus blob dalam kontainer bernama				nama kontainer
Membaca blob di dalam kontainer dengan nama tertentu berdasarkan jalur				nama kontainer jalur blob
Membaca atau mendaftar blob dalam kontainer yang diberi nama dengan jalur			awalan blob	nama kontainer jalur blob
Menyimpan blob dalam wadah bernama dengan rute				nama kontainer jalur blob
Membaca blob dengan label indeks blob dan lintasan				jalur blob tag
Membaca blob dalam kontainer dengan metadata tertentu				kontainer metadata
Menulis atau menghapus blob dalam kontainer dengan metadata tertentu				kontainer metadata
Baca hanya versi blob saat ini				adalahVersiSaatIni
Membaca versi-versi blob terbaru dan versi blob tertentu			versionId	adalahVersiSaatIni
Menghapus versi blob lama			versionId
Membaca versi terkini blob dan cuplikan blob apa pun			rekam jepret	adalahVersiSaatIni
Izinkan daftar operasi blob untuk menyertakan metadata blob, rekaman jepret, atau versi			cantumkan blob termasuk
Membatasi operasi daftar blob untuk tidak menyertakan metadata blob			cantumkan blob termasuk
Hanya membaca akun penyimpanan dengan namespace hierarki diaktifkan				isHnsDiaktifkan
Membaca blob dengan cakupan enkripsi tertentu				Nama cakupan enkripsi
Membaca atau menulis blob di akun penyimpanan bernama dengan cakupan enkripsi tertentu				Nama akun penyimpanan Nama cakupan enkripsi
Membaca atau menulis blob berdasarkan tag indeks blob dan atribut keamanan kustom		ID	Tags	Tags
Membaca blob berdasarkan tag indeks blob dan atribut keamanan kustom multinilai		ID		Tags
Mengizinkan akses baca ke blob setelah tanggal dan waktu tertentu	UtcNow			nama kontainer
Mengizinkan akses ke blob dalam kontainer tertentu dari subnet tertentu	Subnet			nama kontainer
Memerlukan akses tautan privat untuk membaca blob dengan sensitivitas tinggi	isPrivateLink			Tags
Mengizinkan akses ke kontainer hanya dari titik akhir privat tertentu	Titik akhir privat			nama kontainer
Contoh: Izinkan akses baca ke data blob yang sangat sensitif hanya dari titik akhir privat tertentu dan oleh pengguna yang ditandai untuk akses	Titik akhir privat	ID		Tags

Penanda Indeks Blob

Bagian ini mencakup contoh yang melibatkan tag indeks blob.

Penting

Meskipun Read content from a blob with tag conditions suboperasi saat ini didukung untuk kompatibilitas dengan kondisi yang diterapkan selama pratinjau fitur ABAC, suboperasi tersebut telah dihapus dan Microsoft merekomendasikan menggunakan tindakan Read a blob sebagai gantinya.

Saat mengonfigurasi kondisi ABAC di portal Microsoft Azure, Anda mungkin melihat TIDAK DIGUNAKAN LAGI: Membaca konten dari blob dengan kondisi tag. Microsoft merekomendasikan untuk menghapus operasi dan menggantinya dengan tindakan Read a blob.

Jika Anda menulis kondisi Anda sendiri di mana Anda ingin membatasi akses baca berdasarkan kondisi tag, silakan lihat Contoh: Membaca blob dengan tag indeks blob.

Contoh: Membaca blob dengan tag indeks

Kondisi ini memungkinkan pengguna untuk membaca blob dengan kunci tag indeks blob bernama Project dengan nilai Cascade. Upaya untuk mengakses blob tanpa tag kunci-nilai ini tidak diizinkan.

Agar kondisi ini efektif untuk prinsip keamanan, Anda harus menambahkannya ke semua penetapan peran untuk mereka yang menyertakan tindakan berikut:

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram yang menunjukkan kondisi akses baca ke blob dengan tag indeks blob.

Kondisi dapat ditambahkan ke penetapan peran menggunakan portal Microsoft Azure atau Azure PowerShell. Portal memiliki dua alat untuk membangun kondisi ABAC - editor visual dan editor kode. Anda dapat beralih di antara kedua editor di portal Microsoft Azure untuk melihat kondisi Anda dalam tampilan yang berbeda. Beralih antara tab Editor visual dan tab Editor kode untuk melihat contoh editor portal pilihan Anda.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor visual portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob
Sumber atribut	Sumber Daya
Karakteristik	Tag indeks blob [Nilai dalam kunci]
Kunci	{keyName}
Pengoperasi	StringEquals
Nilai	{keyValue}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi Daftar Blob diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut berdasarkan ekspresi yang memeriksa tag indeks blob.

Jika pengguna mencoba melakukan tindakan dalam peran yang ditetapkan yang bukan tindakan yang dibatasi oleh kondisi, !(ActionMatches) akan bernilai benar dan kondisi keseluruhan akan dinilai benar. Hasil ini memungkinkan tindakan dilakukan.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Contoh: Blob baru harus menyertakan tag indeks blob

Kondisi ini mengharuskan setiap blob baru harus menyertakan kunci tag indeks blob Project dan nilai Cascade.

Ada dua tindakan yang memungkinkan Anda membuat blob baru, jadi Anda harus menargetkan keduanya. Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan salah satu tindakan berikut:

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi yang menunjukkan blob baru harus menyertakan tag indeks blob.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis pada blob dengan tag indeks blob Menulis pada blob dengan tag indeks blob
Sumber atribut	Permohonan
Karakteristik	Tag indeks blob [Nilai dalam kunci]
Kunci	{keyName}
Pengoperasi	StringEquals
Nilai	{keyValue}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Contoh: Blob yang sudah ada harus memiliki kunci indeks tag blob

Kondisi ini mengharuskan setiap blob yang ada ditandai dengan setidaknya salah satu kunci tag indeks blob yang diizinkan: Proyek atau Program. Kondisi ini berguna untuk menambahkan tata kelola ke blob yang ada.

Ada dua tindakan yang memungkinkan Anda memperbarui tag pada blob yang ada, jadi Anda harus menargetkan keduanya. Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan salah satu tindakan berikut:

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi yang menunjukkan blob yang ada harus memiliki kunci tag indeks blob.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis pada blob dengan tag indeks blob Menulis tag indeks blob
Sumber atribut	Permohonan
Karakteristik	Tag indeks blob [Kunci]
Pengoperasi	ForAllOfAnyValues:StringEquals
Nilai	{keyName1} {keyName2}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Contoh: Blob yang sudah ada harus memiliki kunci dan nilai tag indeks pada blob

Kondisi ini mengharuskan setiap blob yang ada memiliki kunci tag indeks blob bernama Project dan nilai Cascade, Baker, atau Skagit. Kondisi ini berguna untuk menambahkan tata kelola ke blob yang ada.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi menunjukkan bahwa blob yang ada harus memiliki kunci dan nilai tag indeks blob.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis pada blob dengan tag indeks blob Menulis tag indeks blob
Sumber atribut	Permohonan
Karakteristik	Tag indeks blob [Kunci]
Pengoperasi	ForAnyOfAnyValues:StringEquals
Nilai	{keyName}
Pengoperasi	Dan
Ekspresi 2
Sumber atribut	Permohonan
Karakteristik	Tag indeks blob [Nilai dalam kunci]
Kunci	{keyName}
Pengoperasi	ForAllOfAnyValues:StringEquals
Nilai	{keyValue1} {keyValue2} {keyValue3}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Nama kontainer blob atau jalurnya

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan nama kontainer atau jalur blob.

Contoh: Membaca, menulis, atau menghapus blob dalam kontainer dengan nama tertentu

Kondisi ini memungkinkan pengguna untuk membaca, menulis, atau menghapus blob dalam kontainer penyimpanan bernama blobs-example-container. Kondisi ini berguna untuk berbagi kontainer penyimpanan tertentu dengan pengguna lain dalam langganan.

Ada lima tindakan untuk membaca, menulis, dan menghapus blob yang ada. Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan salah satu tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang disertakan dalam kondisi ini mengaktifkan namespace hierarkis atau mungkin diaktifkan di masa mendatang.

Suboperasi tidak digunakan dalam kondisi ini karena suboperasi hanya diperlukan ketika kondisi ditulis berdasarkan tag.

Diagram kondisi yang menunjukkan membaca, menulis, atau menghapus blob di kontainer yang diberi nama.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Hapus blob Membaca sebuah blob Menulis ke blob Membuat blob atau rekam jepret, atau menambahkan data Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber Daya
Karakteristik	Nama kontainer
Pengoperasi	StringEquals
Nilai	{containerName}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Kontributor Data untuk Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Contoh: Membaca blob dalam kontainer bernama dengan jalur

Kondisi ini memungkinkan akses baca ke kontainer penyimpanan bernama "blobs-example-container" dengan jalur blob "readonly/*". Kondisi ini berguna untuk berbagi bagian tertentu dari kontainer penyimpanan untuk akses baca dengan pengguna lain dalam langganan.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang disertakan dalam kondisi ini mengaktifkan namespace hierarkis atau mungkin diaktifkan di masa mendatang.

Diagram kondisi memperlihatkan akses baca ke blob dalam kontainer bernama dengan jalur.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber Daya
Karakteristik	Nama kontainer
Pengoperasi	StringEquals
Nilai	{containerName}
Ekspresi 2
Pengoperasi	Dan
Sumber atribut	Sumber Daya
Karakteristik	Jalur blob
Pengoperasi	StringLike
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Pembaca Data Blob Storan, Kontributor Data Blob Storan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi List Blobs diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut terhadap pernyataan yang memeriksa nama dan jalur kontainer.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Contoh: Membaca atau mencantumkan blob pada kontainer yang diberi nama dengan spesifik jalur.

Kondisi ini memungkinkan akses baca dan juga mencantumkan akses ke kontainer penyimpanan bernama blobs-example-container dengan jalur blob readonly/*. Kondisi #1 berlaku untuk tindakan baca tidak termasuk blob daftar. Kondisi #2 berlaku untuk mencantumkan blob. Kondisi ini berguna untuk berbagi bagian tertentu dari kontainer penyimpanan untuk akses baca atau daftar dengan pengguna lain dalam langganan.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang disertakan dalam kondisi ini mengaktifkan namespace hierarkis atau mungkin diaktifkan di masa mendatang.

Diagram kondisi menunjukkan akses baca dan akses daftar ke blob dalam wadah yang diberi nama dengan jalur.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Nota

Portal Microsoft Azure menggunakan prefiks='' untuk mencantumkan blob dari direktori akar kontainer. Setelah kondisi ditambahkan dengan operasi daftar blob menggunakan awalan StringStartsWith 'readonly/', pengguna yang ditargetkan tidak akan dapat melihat daftar blob dari direktori akar kontainer di portal Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber Daya
Karakteristik	Nama kontainer
Pengoperasi	StringEquals
Nilai	{containerName}
Ekspresi 2
Pengoperasi	Dan
Sumber atribut	Sumber Daya
Karakteristik	Jalur blob
Pengoperasi	StringStartsWith
Nilai	{pathString}

Kondisi #2	Pengaturan
Tindakan	Daftar blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber Daya
Karakteristik	Nama kontainer
Pengoperasi	StringEquals
Nilai	{containerName}
Ekspresi 2
Pengoperasi	Dan
Sumber atribut	Permohonan
Karakteristik	Awalan blob
Pengoperasi	StringStartsWith
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Pembaca Data Blob Storan, Kontributor Data Blob Storan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Menulis blob di dalam kontainer bernama dengan menentukan jalur

Kondisi ini memungkinkan mitra (pengguna tamu Microsoft Entra) untuk meletakkan file ke dalam kontainer penyimpanan bernama Contosocorp dengan jalur unggahan/contoso/*. Kondisi ini berguna untuk memungkinkan pengguna lain memasukkan data ke dalam kontainer penyimpanan.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang disertakan dalam kondisi ini mengaktifkan namespace hierarkis atau mungkin diaktifkan di masa mendatang.

Diagram kondisi memperlihatkan akses tulis ke blob dalam kontainer bernama dengan jalur.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis ke blob Membuat blob atau rekam jepret, atau menambahkan data Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber Daya
Karakteristik	Nama kontainer
Pengoperasi	StringEquals
Nilai	{containerName}
Ekspresi 2
Pengoperasi	Dan
Sumber atribut	Sumber Daya
Karakteristik	Jalur blob
Pengoperasi	StringLike
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Kontributor Data untuk Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Contoh: Membaca blob dengan tag indeks blob dan jalur

Kondisi ini memungkinkan pengguna untuk membaca blob dengan kunci tag indeks blob Program, nilai Alpine, dan jalur blob log*. Jalur blob dari log* juga menyertakan nama blob.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi memperlihatkan akses baca ke blob dengan tag indeks blob dan jalur.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob
Sumber atribut	Sumber Daya
Karakteristik	Tag indeks blob [Nilai dalam kunci]
Kunci	{keyName}
Pengoperasi	StringEquals
Nilai	{keyValue}

Kondisi #2	Pengaturan
Tindakan	Membaca sebuah blob
Sumber atribut	Sumber Daya
Karakteristik	Jalur blob
Pengoperasi	StringLike
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi List Blob diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut berdasarkan ekspresi yang memeriksa tag dan jalur indeks blob.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadata blob kontainer

Contoh: Membaca blob dalam kontainer dengan metadata tertentu

Kondisi ini memungkinkan pengguna membaca blob dalam kontainer blob dengan pasangan kunci/nilai metadata tertentu.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob
Sumber atribut	Sumber Daya
Karakteristik	Metadata kontainer
Pengoperasi	StringEquals
Nilai	{containerName}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Penyimpanan Pembaca Data Blob.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Menulis atau menghapus blob dalam kontainer dengan metadata tertentu

Kondisi ini memungkinkan pengguna untuk menulis atau menghapus blob dalam kontainer blob dengan pasangan kunci/nilai metadata tertentu.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis ke blob Hapus blob
Sumber atribut	Sumber Daya
Karakteristik	Metadata kontainer
Pengoperasi	StringEquals
Nilai	{containerName}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Kontributor Data untuk Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Versi blob atau cuplikan blob

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan versi blob atau rekam jepret.

Contoh: Hanya membaca versi blob saat ini

Kondisi ini memungkinkan pengguna untuk hanya membaca versi blob saat ini. Pengguna tidak dapat membaca versi blob lainnya.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi yang menunjukkan akses baca hanya ke versi blob saat ini.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber Daya
Karakteristik	Versi Saat Ini
Pengoperasi	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Pembaca Data Blob Storan, Kontributor Data Blob Storan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi daftar Blob diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut berdasarkan ekspresi yang memeriksa versi.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Baca versi blob terkini dan versi blob tertentu

Kondisi ini memungkinkan pengguna untuk membaca versi blob saat ini serta membaca blob dengan ID versi 2022-06-01T23:38:32.8883645Z. Pengguna tidak dapat membaca versi blob lainnya. Atribut ID Versi hanya tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagram kondisi memperlihatkan akses baca ke versi blob tertentu.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob
Sumber atribut	Permohonan
Karakteristik	ID Versi
Pengoperasi	DateTimeEquals
Nilai	<blobVersionId>
Ekspresi 2
Pengoperasi	Atau
Sumber atribut	Sumber Daya
Karakteristik	Versi Saat Ini
Pengoperasi	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Menghapus versi blob lama

Kondisi ini memungkinkan pengguna untuk menghapus versi blob yang lebih lama dari 06/01/2022 untuk melakukan pembersihan. Atribut ID Versi hanya tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagram menunjukkan kondisi penghapusan akses ke versi blob lama.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Hapus blob Menghapus sebuah versi dari blob
Sumber atribut	Permohonan
Karakteristik	ID Versi
Pengoperasi	DateTimeLessThan
Nilai	<blobVersionId>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Baca versi blob saat ini dan rekaman jepretan blob apa pun

Kondisi ini memungkinkan pengguna untuk membaca versi blob saat ini dan rekam jepret blob apa pun. Atribut ID Versi hanya tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan. Atribut Snapshot tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan dan saat ini dalam pratinjau untuk akun penyimpanan tempat namespace hierarki diaktifkan.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi yang menunjukkan akses baca ke versi blob saat ini dan rekam jepret blob apa pun.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Permohonan
Karakteristik	Snapshot
Ada	Diperiksa
Ekspresi 2
Pengoperasi	Atau
Sumber atribut	Sumber Daya
Karakteristik	Versi Saat Ini
Pengoperasi	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Pembaca Data Blob Storan, Kontributor Data Blob Storan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi Daftar Blob diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut terhadap ekspresi yang memeriksa informasi versi dan rekam jepret.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Izinkan operasi pencatatan blob untuk menyertakan metadata blob, snapshot, atau versi

Kondisi ini memungkinkan pengguna untuk mencantumkan blob dalam kontainer dan menyertakan metadata, rekam jepret, dan informasi versi. Atribut Daftar blob yang disertakan tersedia untuk akun penyimpanan yang namespace hierarkis tidak diaktifkan.

Nota

List blobs include adalah atribut permintaan, dan berfungsi dengan mengizinkan atau membatasi nilai-nilai dalam include parameter saat memanggil operasi List Blobs. Nilai dalam include parameter dibandingkan dengan nilai yang ditentukan dalam kondisi menggunakan operator perbandingan lintas produk. Jika hasil perbandingan adalah benar, List Blobs permintaan diizinkan. Jika saat perbandingan bernilai false, permintaan List Blobs ditolak.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Daftar blob
Sumber atribut	Permohonan
Karakteristik	Daftar blob mencakup
Pengoperasi	ForAllOfAnyValues:StringEqualsIgnoreCase
Nilai	{'metadata', 'cuplikan data', 'versi'}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Penyimpanan Pembaca Data Blob.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca saat suboperasi adalah Blob.List. Ini berarti bahwa operasi Daftar Blob diperiksa lebih lanjut berdasarkan ekspresi yang memeriksa nilai-nilai include, tetapi semua tindakan baca lainnya diizinkan.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Membatasi operasi daftar blob dengan tidak menyertakan metadata blob

Kondisi ini membatasi pengguna untuk mencantumkan blob saat metadata disertakan dalam permintaan. Atribut Daftar blob yang disertakan tersedia untuk akun penyimpanan yang namespace hierarkis tidak diaktifkan.

Nota

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Daftar blob
Sumber atribut	Permohonan
Karakteristik	Daftar blob mencakup
Pengoperasi	ForAllOfAllValues:StringNotEquals
Nilai	{'metadata'}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Penyimpanan Pembaca Data Blob.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Namespace hierarkis

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan apakah namespace hierarki diaktifkan untuk akun penyimpanan.

Contoh: Hanya membaca akun penyimpanan dengan namespace hierarki diaktifkan

Kondisi ini memungkinkan pengguna untuk hanya membaca blob di akun penyimpanan dengan namespace hierarki diaktifkan. Kondisi ini hanya berlaku pada cakupan grup sumber daya atau yang lebih tinggi.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi memperlihatkan akses baca ke akun penyimpanan dengan namespace hierarki diaktifkan.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber Daya
Karakteristik	Apakah namespace hierarki telah diaktifkan
Pengoperasi	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Pembaca Data Blob Storan, Kontributor Data Blob Storan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi Daftar Blob diizinkan, tetapi semua aksi pembacaan lainnya dievaluasi lebih lanjut berdasarkan ekspresi yang memeriksa namespace hierarkis.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Ruang lingkup enkripsi

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek dengan cakupan enkripsi yang disetujui.

Contoh: Membaca blob dengan cakupan enkripsi tertentu

Kondisi ini memungkinkan pengguna untuk membaca blob yang dienkripsi dalam cakupan enkripsi validScope1 atau validScope2.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Diagram kondisi memperlihatkan akses baca ke blob dengan cakupan enkripsi validScope1 atau validScope2.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob
Sumber atribut	Sumber Daya
Karakteristik	Nama cakupan enkripsi
Pengoperasi	ForAnyOfAnyValues:StringEquals
Nilai	<scopeName>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi Daftar Blob diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih jauh berdasarkan ekspresi yang memeriksa cakupan enkripsi.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Membaca atau menulis blob di akun penyimpanan bernama dengan cakupan enkripsi tertentu

Kondisi ini memungkinkan pengguna untuk membaca atau menulis blob di akun penyimpanan bernama sampleaccount dan dienkripsi dengan cakupan enkripsi ScopeCustomKey1. Jika blob tidak dienkripsi atau didekripsi dengan ScopeCustomKey1, permintaan akan ditolak.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Nota

Karena cakupan enkripsi untuk akun penyimpanan yang berbeda bisa berbeda, disarankan untuk menggunakan storageAccounts:name atribut dengan encryptionScopes:name atribut untuk membatasi cakupan enkripsi tertentu agar diizinkan.

Diagram kondisi yang menunjukkan akses baca atau tulis ke blob di akun penyimpanan sampleaccount dengan cakupan enkripsi ScopeCustomKey1.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca sebuah blob Menulis ke blob Membuat blob atau rekam jepret, atau menambahkan data
Sumber atribut	Sumber Daya
Karakteristik	Nama akun
Pengoperasi	StringEquals
Nilai	<namaAkun>
Ekspresi 2
Pengoperasi	Dan
Sumber atribut	Sumber Daya
Karakteristik	Nama cakupan enkripsi
Pengoperasi	ForAnyOfAnyValues:StringEquals
Nilai	<scopeName>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Atribut utama

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan prinsip keamanan kustom.

Contoh: Membaca atau menulis blob berdasarkan tag indeks blob dan atribut keamanan kustom

Kondisi ini memungkinkan akses baca atau tulis ke blob jika pengguna memiliki atribut keamanan kustom yang cocok dengan tag indeks blob.

Misalnya, jika Brenda memiliki atribut Project=Baker, dia hanya dapat membaca atau menulis blob dengan Project=Baker tag indeks blob. Demikian pula, Chandra hanya dapat membaca atau menulis blob dengan Project=Cascade.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Untuk informasi selengkapnya, lihat Mengizinkan akses baca ke blob berdasarkan tag dan atribut keamanan kustom.

Diagram kondisi yang menunjukkan akses baca atau tulis ke blob berdasarkan tag indeks blob dan atribut keamanan kustom.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca kondisi blob
Sumber atribut	Kepala sekolah
Karakteristik	<atributset>_<kunci>
Pengoperasi	StringEquals
Opsi	Karakteristik
Sumber atribut	Sumber Daya
Karakteristik	Tag indeks blob [Nilai dalam kunci]
Kunci	<kunci>

Kondisi #2	Pengaturan
Tindakan	Menulis pada blob dengan tag indeks blob Menulis pada blob dengan tag indeks blob
Sumber atribut	Kepala sekolah
Karakteristik	<attributeset>_<key>
Pengoperasi	StringEquals
Opsi	Karakteristik
Sumber atribut	Permohonan
Karakteristik	Tag indeks blob [Nilai dalam kunci]
Kunci	<kunci>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Membaca blob berdasarkan tag indeks blob dan atribut keamanan kustom multinilai

Kondisi ini memungkinkan akses baca ke blob jika pengguna memiliki atribut keamanan kustom dengan nilai apa pun yang cocok dengan tag indeks blob.

Misalnya, jika Chandra memiliki atribut Project dengan nilai-nilai Baker dan Cascade, dia hanya dapat membaca blob dengan tag indeks Project=Baker atau Project=Cascade.

Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Untuk informasi selengkapnya, lihat Mengizinkan akses baca ke blob berdasarkan tag dan atribut keamanan kustom.

Diagram kondisi yang menunjukkan akses baca ke blob berdasarkan tag indeks blob dan atribut keamanan kustom multinilai.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca kondisi blob
Sumber atribut	Sumber Daya
Karakteristik	Tag indeks blob [Nilai dalam kunci]
Kunci	<kunci>
Pengoperasi	ForAnyOfAnyValues:StringEquals
Opsi	Karakteristik
Sumber atribut	Kepala sekolah
Karakteristik	<setsifat>_<kunci>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi Blob Daftar diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut terhadap ekspresi yang memeriksa tag indeks blob dan atribut keamanan kustom.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Atribut lingkungan

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan lingkungan jaringan atau tanggal dan waktu saat ini.

Contoh: Mengizinkan akses baca ke blob setelah tanggal dan waktu tertentu

Kondisi ini memungkinkan akses baca ke kontainer blob container1 hanya setelah pukul 13.00 pada tanggal 1 Mei 2023 Waktu Universal Terkoordinasi (UTC).

Ada dua tindakan potensial untuk membaca blob yang ada. Untuk membuat kondisi ini efektif bagi prinsipal yang memiliki beberapa penetapan peran, Anda harus menambahkan kondisi ini ke semua penetapan peran yang menyertakan salah satu tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya suboperasi Baca blob seperti yang diperlihatkan dalam tabel berikut ini.

Tindakan	Suboperasi
Semua operasi baca	Membaca objek blob

Jangan pilih tindakan Semua operasi baca tingkat atas atau suboperasi lainnya seperti yang ditunjukkan pada gambar berikut:

Bangun Ekspresi

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Pengaturan Nilai

Sumber atribut Sumber Daya

Karakteristik Nama kontainer

Pengoperasi StringEquals

Nilai container1

Operator logika 'AND'

Sumber atribut Lingkungan

Karakteristik UtcNow

Pengoperasi DateTimeGreaterThan

Nilai 2023-05-01T13:00:00.000Z

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke portal Microsoft Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Pembaca Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Mengizinkan akses ke blob dalam kontainer tertentu dari subnet tertentu

Kondisi ini memungkinkan akses baca, tulis, tambahkan, dan hapus ke blob container1 hanya dari subnet default di jaringan virtualnetwork1virtual . Untuk menggunakan atribut Subnet dalam contoh ini, subnet harus mengaktifkan titik akhir layanan untuk Azure Storage.

Ada lima tindakan potensial untuk membaca, menulis, menambahkan, dan menghapus akses ke blob yang ada. Untuk membuat kondisi ini efektif bagi prinsipal yang memiliki beberapa penetapan peran, Anda harus menambahkan kondisi ini ke semua penetapan peran yang menyertakan salah satu tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya tindakan tingkat atas yang diperlihatkan dalam tabel berikut ini.

Tindakan	Suboperasi
Semua operasi baca	N/a
Menulis ke penyimpanan blob	N/a
Membuat blob atau rekam jepret, atau menambahkan data	N/a
Menghapus objek blob	N/a

Jangan pilih suboperasi individual seperti yang ditunjukkan pada gambar berikut:

Bangun Ekspresi

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Pengaturan Nilai

Sumber atribut Sumber Daya

Karakteristik Nama kontainer

Pengoperasi StringEquals

Nilai container1

Operator logika 'AND'

Sumber atribut Lingkungan

Karakteristik Subnet

Pengoperasi StringEqualsIgnoreCase

Nilai /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke portal Microsoft Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Kontributor Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Memerlukan akses tautan privat untuk membaca blob dengan sensitivitas tinggi

Kondisi ini mengharuskan permintaan untuk membaca blob di mana tag indeks sensitivitas memiliki nilai high harus melewati tautan privat (tautan privat apa pun). Ini berarti semua upaya untuk membaca blob yang sangat sensitif dari internet publik tidak akan diizinkan. Pengguna dapat membaca blob dari internet publik yang memiliki sensitivitas yang diatur ke beberapa nilai selain high.

Tabel kebenaran untuk kondisi sampel ABAC ini mengikuti:

Perbuatan	Kepekaan	Tautan privat	Akses
Membaca blob	tinggi	Ya	Diperbolehkan
Membaca blob	tinggi	Tidak.	Tidak Diperbolehkan
Membaca blob	tidak tinggi	Ya	Diperbolehkan
Membaca objek blob	tidak tinggi	Tidak.	Diperbolehkan

Tindakan Catatan

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor kondisi visual di portal Microsoft Azure.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya suboperasi Baca blob seperti yang diperlihatkan dalam tabel berikut ini.

Tindakan	Suboperasi
Semua operasi baca	Membaca objek blob

Jangan pilih tindakan Semua operasi baca tingkat atas dari suboperasi lain seperti yang ditunjukkan pada gambar berikut:

Bangun Ekspresi

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Kelompok Pengaturan Nilai

Grup #1

Sumber atribut Sumber Daya

Karakteristik Tag indeks blob [Nilai dalam kunci]

Kunci sensitivity

Pengoperasi StringEquals

Nilai high

Operator logika DAN

Sumber atribut Lingkungan

Karakteristik Apakah tautan privat

Pengoperasi BoolEquals

Nilai True

Akhir Grup #1

Operator logika 'OR'

Sumber atribut Sumber Daya

Karakteristik Tag indeks blob [Nilai dalam kunci]

Kunci sensitivity

Pengoperasi StringNotEquals

Nilai high

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke portal Microsoft Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Pembaca Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Izinkan akses ke kontainer hanya dari titik akhir privat tertentu

Kondisi ini mengharuskan semua operasi baca, tulis, tambahkan, dan hapus untuk blob dalam kontainer penyimpanan bernama container1 dibuat melalui titik akhir privat bernama privateendpoint1. Untuk semua kontainer lain yang tidak bernama container1, akses tidak perlu melalui titik akhir privat.

Ada lima tindakan potensial untuk membaca, menulis, dan menghapus blob yang ada. Untuk membuat kondisi ini efektif bagi prinsipal yang memiliki beberapa penetapan peran, Anda harus menambahkan kondisi ini ke semua penetapan peran yang menyertakan salah satu tindakan berikut.

Tindakan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang disertakan dalam kondisi ini mengaktifkan namespace hierarkis atau mungkin diaktifkan di masa mendatang.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor kondisi visual di portal Microsoft Azure.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya tindakan tingkat atas yang diperlihatkan dalam tabel berikut ini.

Tindakan	Suboperasi
Semua operasi baca	N/a
Menulis ke penyimpanan blob	N/a
Membuat blob atau rekam jepret, atau menambahkan data	N/a
Menghapus objek blob	N/a

Jangan pilih suboperasi individual seperti yang ditunjukkan pada gambar berikut:

Bangun Ekspresi

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Kelompok Pengaturan Nilai

Grup #1

Sumber atribut Sumber Daya

Karakteristik Nama kontainer

Pengoperasi StringEquals

Nilai container1

Operator logika DAN

Sumber atribut Lingkungan

Karakteristik Titik akhir privat

Pengoperasi StringEqualsIgnoreCase

Nilai /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Akhir Grup #1

Operator logika 'OR'

Sumber atribut Sumber Daya

Karakteristik Nama kontainer

Pengoperasi StringNotEquals

Nilai container1

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke portal Microsoft Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, pilih salah satu sampel kode kondisi berikut, tergantung pada peran yang terkait dengan penugasan. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Blob Data Penyimpanan:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Kontributor Penyimpanan Data Blob:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Kontributor Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Izinkan akses pembacaan ke data blob yang sangat sensitif, hanya dari titik akhir privat tertentu dan oleh pengguna yang telah diberi tag akses

Kondisi ini mengharuskan bahwa blob dengan tag indeks sensitivitas yang diatur ke high hanya dapat dibaca oleh pengguna dengan nilai yang sesuai untuk atribut keamanan sensitivitas mereka. Selain itu, mereka harus diakses melalui titik akhir privat bernama privateendpoint1. Blob yang memiliki nilai berbeda untuk tag sensitivitas dapat diakses melalui titik akhir lain atau Internet.

Tindakan Catatan

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Tambahkan jika definisi peran menyertakan tindakan ini, misalnya Pemilik Data Blob Penyimpanan.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor kondisi visual di portal Microsoft Azure.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya suboperasi Baca blob seperti yang diperlihatkan dalam tabel berikut ini.

Tindakan	Suboperasi
Semua operasi baca	Membaca objek blob

Jangan pilih tindakan tingkat atas seperti yang ditunjukkan pada gambar berikut:

Bangun Ekspresi

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Kelompok	Pengaturan	Nilai
Grup #1
	Sumber atribut	Kepala sekolah
	Karakteristik	<attributeset>_<key>
	Pengoperasi	StringEquals
	Opsi	Karakteristik
	Operator logika	DAN
	Sumber atribut	Sumber Daya
	Karakteristik	Tag indeks blob [Nilai dalam kunci]
	Kunci	<kunci>
	Operator logika	DAN
	Sumber atribut	Lingkungan
	Karakteristik	Titik akhir privat
	Pengoperasi	StringEqualsIgnoreCase
	Nilai	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Akhir Grup #1
	Operator logika	'OR'
	Sumber atribut	Sumber Daya
	Karakteristik	Tag indeks blob [Nilai dalam kunci]
	Kunci	`sensitivity`
	Pengoperasi	StringNotEquals
	Nilai	`high`

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke portal Microsoft Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Pembaca Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Langkah berikutnya

Tutorial: Tambahkan ketentuan penetapan peran untuk membatasi akses ke blob menggunakan portal Microsoft Azure
Tindakan dan atribut untuk kondisi penetapan peran Azure untuk Azure Blob Storage
Format dan sintaks kondisi penetapan peran Azure
Mengatasi masalah pada kondisi penetapan peran Azure

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-05-03

Bagikan melalui

Contoh kondisi penetapan peran Azure untuk Blob Storage

Prasyarat

Ringkasan contoh dalam artikel ini

Penanda Indeks Blob

Contoh: Membaca blob dengan tag indeks

Contoh: Blob baru harus menyertakan tag indeks blob

Contoh: Blob yang sudah ada harus memiliki kunci indeks tag blob

Contoh: Blob yang sudah ada harus memiliki kunci dan nilai tag indeks pada blob

Nama kontainer blob atau jalurnya

Contoh: Membaca, menulis, atau menghapus blob dalam kontainer dengan nama tertentu

Contoh: Membaca blob dalam kontainer bernama dengan jalur

Contoh: Membaca atau mencantumkan blob pada kontainer yang diberi nama dengan spesifik jalur.

Contoh: Menulis blob di dalam kontainer bernama dengan menentukan jalur

Contoh: Membaca blob dengan tag indeks blob dan jalur

Metadata blob kontainer

Contoh: Membaca blob dalam kontainer dengan metadata tertentu

Contoh: Menulis atau menghapus blob dalam kontainer dengan metadata tertentu

Versi blob atau cuplikan blob

Contoh: Hanya membaca versi blob saat ini

Contoh: Baca versi blob terkini dan versi blob tertentu

Contoh: Menghapus versi blob lama

Contoh: Baca versi blob saat ini dan rekaman jepretan blob apa pun

Contoh: Izinkan operasi pencatatan blob untuk menyertakan metadata blob, snapshot, atau versi

Contoh: Membatasi operasi daftar blob dengan tidak menyertakan metadata blob

Namespace hierarkis

Contoh: Hanya membaca akun penyimpanan dengan namespace hierarki diaktifkan

Ruang lingkup enkripsi

Contoh: Membaca blob dengan cakupan enkripsi tertentu

Contoh: Membaca atau menulis blob di akun penyimpanan bernama dengan cakupan enkripsi tertentu

Atribut utama

Contoh: Membaca atau menulis blob berdasarkan tag indeks blob dan atribut keamanan kustom

Contoh: Membaca blob berdasarkan tag indeks blob dan atribut keamanan kustom multinilai

Atribut lingkungan

Contoh: Mengizinkan akses baca ke blob setelah tanggal dan waktu tertentu

Menambahkan tindakan

Bangun Ekspresi

Contoh: Mengizinkan akses ke blob dalam kontainer tertentu dari subnet tertentu

Menambahkan tindakan

Bangun Ekspresi

Contoh: Memerlukan akses tautan privat untuk membaca blob dengan sensitivitas tinggi

Menambahkan tindakan

Bangun Ekspresi

Contoh: Izinkan akses ke kontainer hanya dari titik akhir privat tertentu

Menambahkan tindakan

Bangun Ekspresi

Contoh: Izinkan akses pembacaan ke data blob yang sangat sensitif, hanya dari titik akhir privat tertentu dan oleh pengguna yang telah diberi tag akses

Menambahkan tindakan

Bangun Ekspresi

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: