Contoh kondisi penetapan peran Azure untuk Blob Storage

Artikel
04/07/2024

Artikel ini mencantumkan beberapa contoh kondisi penetapan peran untuk mengontrol akses ke Azure Blob Storage.

Penting

Kontrol akses berbasis atribut Azure (Azure ABAC) umumnya tersedia (GA) untuk mengontrol akses ke Azure Blob Storage, Azure Data Lake Storage Gen2, dan Azure Queues menggunakan requestatribut , , resourceenvironment, dan principal di tingkat performa akun penyimpanan standar dan premium. Saat ini, atribut sumber daya metadata kontainer dan blob daftar menyertakan atribut permintaan ada di PRATINJAU. Untuk informasi status fitur lengkap ABAC untuk Azure Storage, lihat Status fitur kondisi di Azure Storage.

Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Prasyarat

Untuk informasi tentang prasyarat untuk menambah atau mengedit kondisi penetapan peran, lihat Prasyarat kondisi.

Ringkasan contoh dalam artikel ini

Gunakan tabel berikut untuk menemukan contoh yang sesuai dengan skenario ABAC Anda dengan cepat. Tabel ini mencakup deskripsi singkat tentang skenario, ditambah daftar atribut yang digunakan dalam contoh menurut sumber (lingkungan, utama, permintaan, dan sumber daya).

Contoh	Lingkungan	Utama	Minta	Sumber daya
Membaca blob dengan tag indeks blob				tag
Blob baru harus menyertakan tag indeks blob			tag
Blob yang ada harus memiliki kunci tag indeks blob			tag
Blob yang ada harus memiliki kunci dan nilai tag indeks blob			tag
Membaca, menulis, atau menghapus blob dalam kontainer bernama				nama kontainer
Membaca blob dalam kontainer bernama dengan jalur				jalur blob nama kontainer
Membaca atau mencantumkan blob dalam kontainer bernama dengan jalur			awalan blob	jalur blob nama kontainer
Menulis blob dalam kontainer bernama dengan jalur				jalur blob nama kontainer
Membaca blob dengan tag indeks blob dan jalur				jalur blob tag
Membaca blob dalam kontainer dengan metadata tertentu				metadata kontainer
Menulis atau menghapus blob dalam kontainer dengan metadata tertentu				metadata kontainer
Baca hanya versi blob saat ini				isCurrentVersion
Membaca versi blob saat ini dan versi blob tertentu			versionId	isCurrentVersion
Menghapus versi blob lama			versionId
Membaca versi blob saat ini dan rekam jepret blob apa pun			snapshot	isCurrentVersion
Izinkan operasi blob daftar menyertakan metadata blob, rekam jepret, atau versi			cantumkan blob termasuk
Membatasi operasi blob daftar untuk tidak menyertakan metadata blob			cantumkan blob termasuk
Hanya membaca akun penyimpanan dengan namespace hierarki diaktifkan				isHnsEnabled
Membaca blob dengan cakupan enkripsi tertentu				Nama cakupan enkripsi
Membaca atau menulis blob di akun penyimpanan bernama dengan cakupan enkripsi tertentu				Nama akun penyimpanan Nama cakupan enkripsi
Membaca atau menulis blob berdasarkan tag indeks blob dan atribut keamanan kustom		ID	tag	tag
Membaca blob berdasarkan tag indeks blob dan atribut keamanan kustom multinilai		ID		tag
Mengizinkan akses baca ke blob setelah tanggal dan waktu tertentu	UtcNow			nama kontainer
Mengizinkan akses ke blob dalam kontainer tertentu dari subnet tertentu	Subnet			nama kontainer
Memerlukan akses tautan privat untuk membaca blob dengan sensitivitas tinggi	isPrivateLink			tag
Mengizinkan akses ke kontainer hanya dari titik akhir privat tertentu	Titik akhir privat			nama kontainer
Contoh: Izinkan akses baca ke data blob yang sangat sensitif hanya dari titik akhir privat tertentu dan oleh pengguna yang ditandai untuk akses	Titik akhir privat	ID		tag

Tag indeks blob

Bagian ini mencakup contoh yang melibatkan tag indeks blob.

Penting

Read content from a blob with tag conditions Meskipun suboperasi saat ini didukung untuk kompatibilitas dengan kondisi yang diterapkan selama pratinjau fitur ABAC, suboperasi telah ditolak dan Microsoft merekomendasikan penggunaan tindakan sebagai Read a blob gantinya.

Saat mengonfigurasi kondisi ABAC di portal Azure, Anda mungkin melihat tidak digunakan lagi: Membaca konten dari blob dengan kondisi tag. Microsoft merekomendasikan untuk menghapus operasi dan menggantinya dengan Read a blob tindakan.

Jika Anda membuat kondisi Anda sendiri saat ingin membatasi akses baca dengan kondisi tag, silakan lihat Contoh: Baca blob dengan tag indeks blob.

Contoh: Membaca blob dengan tag indeks blob

Kondisi ini memungkinkan pengguna untuk membaca blob dengan kunci tag indeks blob Proyek dan nilai Cascade. Upaya untuk mengakses blob tanpa tag kunci-nilai ini tidak diizinkan.

Agar kondisi ini efektif untuk prinsip keamanan, Anda harus menambahkannya ke semua penetapan peran untuk mereka yang menyertakan tindakan berikut:

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi menampilkan akses baca ke blob dengan tag indeks blob.

Kondisi dapat ditambahkan ke penetapan peran menggunakan portal Azure atau Azure PowerShell. Portal memiliki dua alat untuk membangun kondisi ABAC - editor visual dan editor kode. Anda dapat beralih di antara kedua editor di portal Azure untuk melihat kondisi Anda dalam tampilan yang berbeda. Beralih antara tab Editor visual dan tab Editor kode untuk melihat contoh editor portal pilihan Anda.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor visual portal Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob
Sumber atribut	Sumber daya
Atribut	Tag indeks blob [Nilai dalam kunci]
Tombol	{keyName}
Operator	StringEquals
Nilai	{keyValue}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi Blob Daftar diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut terhadap ekspresi yang memeriksa tag indeks blob.

Jika pengguna mencoba melakukan tindakan dalam peran yang ditetapkan yang bukan tindakan yang dibatasi oleh kondisi, !(ActionMatches) mengevaluasi ke true dan kondisi keseluruhan dievaluasi ke true. Hasil ini memungkinkan tindakan dilakukan.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Contoh: Blob baru harus menyertakan tag indeks blob

Kondisi ini mengharuskan setiap blob baru harus menyertakan kunci tag indeks blob Proyek dan nilai Cascade.

Ada dua tindakan yang memungkinkan Anda membuat blob baru, jadi Anda harus menargetkan keduanya. Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan salah satu tindakan berikut:

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi yang menampilkan blob baru harus menyertakan tag indeks blob.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis ke blob dengan tag indeks blob Menulis ke blob dengan tag indeks blob
Sumber atribut	Minta
Atribut	Tag indeks blob [Nilai dalam kunci]
Tombol	{keyName}
Operator	StringEquals
Nilai	{keyValue}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Contoh: Blob yang ada harus memiliki kunci tag indeks blob

Kondisi ini mengharuskan setiap blob yang ada diberi tag dengan setidaknya satu dari kunci tag indeks blob yang diizinkan: Proyek atau Program. Kondisi ini berguna untuk menambahkan tata kelola ke blob yang ada.

Ada dua tindakan yang memungkinkan Anda memperbarui tag pada blob yang ada, jadi Anda harus menargetkan keduanya. Anda harus menambahkan kondisi ini ke penetapan peran apa pun yang menyertakan salah satu tindakan berikut:

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi yang menampilkan blob yang ada harus memiliki kunci tag indeks blob.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis ke blob dengan tag indeks blob Menulis tag indeks blob
Sumber atribut	Minta
Atribut	Tag indeks blob [Kunci]
Operator	ForAllOfAnyValues:StringEquals
Nilai	{keyName1} {keyName2}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Contoh: Blob yang ada harus memiliki kunci dan nilai tag indeks blob

Kondisi ini mengharuskan setiap blob yang ada memiliki kunci tag indeks blob Proyek dan nilai Cascade, Baker, atau Skagit. Kondisi ini berguna untuk menambahkan tata kelola ke blob yang ada.

Ada dua tindakan yang memungkinkan Anda memperbarui tag pada blob yang ada, jadi Anda harus menargetkan keduanya. Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan salah satu tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi yang menampilkan blob yang ada harus memiliki kunci dan nilai tag indeks blob.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis ke blob dengan tag indeks blob Menulis tag indeks blob
Sumber atribut	Minta
Atribut	Tag indeks blob [Kunci]
Operator	ForAnyOfAnyValues:StringEquals
Nilai	{keyName}
Operator	Dan
Expression 2
Sumber atribut	Minta
Atribut	Tag indeks blob [Nilai dalam kunci]
Tombol	{keyName}
Operator	ForAllOfAnyValues:StringEquals
Nilai	{keyValue1} {keyValue2} {keyValue3}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Nama atau jalur kontainer blob

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan nama kontainer atau jalur blob.

Contoh: Membaca, menulis, atau menghapus blob dalam kontainer bernama

Kondisi ini memungkinkan pengguna untuk membaca, menulis, atau menghapus blob dalam kontainer penyimpanan bernama blobs-example-container. Kondisi ini berguna untuk membagikan kontainer penyimpanan tertentu dengan pengguna lain dalam langganan.

Ada lima tindakan untuk membaca, menulis, dan menghapus blob yang ada. Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan salah satu tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang termasuk dalam kondisi ini memiliki namespace hierarki yang diaktifkan atau mungkin diaktifkan di masa mendatang.

Suboperasi tidak digunakan dalam kondisi ini karena suboperasi hanya diperlukan ketika kondisi ditulis berdasarkan tag.

Diagram kondisi yang menampilkan blob baca, tulis, atau hapus dalam kontainer yang bernama.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Hapus blob Membaca blob Menulis ke blob Membuat blob atau rekam jepret, atau menambahkan data Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber daya
Atribut	Nama kontainer
Operator	StringEquals
Nilai	{containerName}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Data blob penyimpanan kontributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Contoh: Baca blob dalam kontainer bernama dengan jalur

Kondisi ini memungkinkan akses baca ke kontainer penyimpanan bernama blobs-example-container dengan jalur blob readonly/*. Kondisi ini berguna untuk membagikan bagian tertentu dari kontainer penyimpanan untuk memberikan akses baca kepada pengguna lain dalam langganan.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang termasuk dalam kondisi ini memiliki namespace hierarki yang diaktifkan atau mungkin diaktifkan di masa mendatang.

Diagram kondisi yang menampilkan akses baca ke blob dalam kontainer yang bernama dengan jalur.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber daya
Atribut	Nama kontainer
Operator	StringEquals
Nilai	{containerName}
Expression 2
Operator	Dan
Sumber atribut	Sumber daya
Atribut	Jalur blob
Operator	StringLike
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Pembaca Data Blob Penyimpanan, Kontributor Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca kecuali ketika suboperasi adalah Blob.List. Ini berarti bahwa operasi Daftar Blob diizinkan, tetapi semua tindakan baca lainnya dievaluasi lebih lanjut terhadap ekspresi yang memeriksa nama dan jalur kontainer.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Contoh: Baca atau daftar blob dalam kontainer bernama dengan jalur

Kondisi ini memungkinkan akses baca dan juga akses daftar ke kontainer penyimpanan bernama blob-example-container dengan jalur blob readonly/*. Kondisi #1 berlaku untuk tindakan membaca tidak termasuk blob daftar. Kondisi #2 berlaku untuk daftar blob. Kondisi ini berguna untuk berbagi bagian tertentu dari kontainer penyimpanan untuk akses baca atau daftar dengan pengguna lain dalam langganan.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang termasuk dalam kondisi ini memiliki namespace hierarki yang diaktifkan atau mungkin diaktifkan di masa mendatang.

Diagram kondisi yang menampilkan akses baca dan daftar ke blob dalam kontainer yang bernama dengan jalur.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Catatan

Portal Azure menggunakan prefix='' untuk membuat daftar blob dari direktori akar kontainer. Setelah kondisi ditambahkan dengan operasi daftar blob menggunakan awalan StringStartsWith 'readonly/', pengguna yang ditargetkan tidak akan dapat membuat daftar blob dari direktori akar kontainer di portal Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber daya
Atribut	Nama kontainer
Operator	StringEquals
Nilai	{containerName}
Expression 2
Operator	Dan
Sumber atribut	Sumber daya
Atribut	Jalur blob
Operator	StringStartsWith
Nilai	{pathString}

Kondisi #2	Pengaturan
Tindakan	Masukkan blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber daya
Atribut	Nama kontainer
Operator	StringEquals
Nilai	{containerName}
Expression 2
Operator	Dan
Sumber atribut	Minta
Atribut	Prefiks blob
Operator	StringStartsWith
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Pembaca Data Blob Penyimpanan, Kontributor Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Tulis blob dalam kontainer yang bernama dengan jalur

Kondisi ini memungkinkan mitra (pengguna tamu Microsoft Entra) untuk meletakkan file ke dalam kontainer penyimpanan bernama Contosocorp dengan jalur unggahan/contoso/*. Kondisi ini berguna untuk memungkinkan pengguna lain memasukkan data ke dalam kontainer penyimpanan.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang termasuk dalam kondisi ini memiliki namespace hierarki yang diaktifkan atau mungkin diaktifkan di masa mendatang.

Diagram kondisi yang menampilkan akses tulis ke blob dalam kontainer yang bernama dengan jalur.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis ke blob Membuat blob atau rekam jepret, atau menambahkan data Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber daya
Atribut	Nama kontainer
Operator	StringEquals
Nilai	{containerName}
Expression 2
Operator	Dan
Sumber atribut	Sumber daya
Atribut	Jalur blob
Operator	StringLike
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Data blob penyimpanan kontributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Contoh: Baca blob dengan tag indeks blob dan jalur

Kondisi ini memungkinkan pengguna untuk membaca blob dengan kunci tag indeks blob Program, nilai Alpine, dan jalur blob log*. Jalur blob log* juga menyertakan nama blob.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi menampilkan akses baca ke blob dengan jalur dan tag indeks blob.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob
Sumber atribut	Sumber daya
Atribut	Tag indeks blob [Nilai dalam kunci]
Tombol	{keyName}
Operator	StringEquals
Nilai	{keyValue}

Kondisi #2	Pengaturan
Tindakan	Membaca blob
Sumber atribut	Sumber daya
Atribut	Jalur blob
Operator	StringLike
Nilai	{pathString}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Berikut cara menguji kondisi ini.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadata kontainer blob

Contoh: Membaca blob dalam kontainer dengan metadata tertentu

Kondisi ini memungkinkan pengguna membaca blob dalam kontainer blob dengan pasangan kunci/nilai metadata tertentu.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob
Sumber atribut	Sumber daya
Atribut	Metadata kontainer
Operator	StringEquals
Nilai	{containerName}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pembaca Data Blob Penyimpanan.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Menulis atau menghapus blob dalam kontainer dengan metadata tertentu

Kondisi ini memungkinkan pengguna untuk menulis atau menghapus blob dalam kontainer blob dengan pasangan kunci/nilai metadata tertentu.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Menulis ke blob Hapus blob
Sumber atribut	Sumber daya
Atribut	Metadata kontainer
Operator	StringEquals
Nilai	{containerName}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Data blob penyimpanan kontributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut adalah cara menambahkan kondisi ini menggunakan Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Versi blob atau snapshot blob

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan versi blob atau rekam jepret.

Contoh: Hanya baca versi blob saat ini

Kondisi ini memungkinkan pengguna untuk hanya membaca versi blob saat ini. Pengguna tidak dapat membaca versi blob lainnya.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi menampilkan akses baca ke hanya versi blob saat ini.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber daya
Atribut	Adalah Versi Terkini
Operator	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Pembaca Data Blob Penyimpanan, Kontributor Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Baca versi blob saat ini dan versi blob tertentu

Kondisi ini memungkinkan pengguna untuk membaca versi blob saat ini serta membaca blob dengan ID versi 2022-06-01T23:38:32.8883645Z. Pengguna tidak dapat membaca versi blob lainnya. Atribut ID Versi hanya tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagram kondisi menampilkan akses baca ke versi blob spesifik.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob
Sumber atribut	Minta
Atribut	ID Versi
Operator	DateTimeEquals
Nilai	<blobVersionId>
Expression 2
Operator	Atau
Sumber atribut	Sumber daya
Atribut	Adalah Versi Terkini
Operator	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Menghapus versi blob lama

Kondisi ini memungkinkan pengguna untuk menghapus versi blob yang lebih lama dari 06/01/2022 untuk melakukan pembersihan. Atribut ID Versi hanya tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagram kondisi menampilkan akses hapus ke versi blob tua.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Hapus blob Menghapus versi blob
Sumber atribut	Minta
Atribut	ID Versi
Operator	DateTimeLessThan
Nilai	<blobVersionId>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Baca versi blob saat ini dan snapshot blob apa pun

Kondisi ini memungkinkan pengguna untuk membaca versi blob saat ini dan snapshot blob apa pun. Atribut ID Versi hanya tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan. Atribut Snapshot tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan dan saat ini dalam pratinjau untuk akun penyimpanan tempat namespace hierarki diaktifkan.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi menampilkan akses baca ke versi blob saat ini dan snapshot blob apa pun.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Minta
Atribut	Snapshot
Ada	Dicentang
Expression 2
Operator	Atau
Sumber atribut	Sumber daya
Atribut	Adalah Versi Terkini
Operator	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Pembaca Data Blob Penyimpanan, Kontributor Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Izinkan operasi blob daftar untuk menyertakan metadata blob, rekam jepret, atau versi

Kondisi ini memungkinkan pengguna untuk mencantumkan blob dalam kontainer dan menyertakan metadata, rekam jepret, dan informasi versi. Atribut Cantumkan blob menyertakan tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan.

Catatan

Blob daftar disertakan adalah atribut permintaan, dan berfungsi dengan mengizinkan atau membatasi nilai dalam include parameter saat memanggil operasi Daftar Blob . Nilai dalam include parameter dibandingkan dengan nilai yang ditentukan dalam kondisi menggunakan operator perbandingan lintas produk. Jika perbandingan mengevaluasi ke true, List Blobs permintaan diizinkan. Jika perbandingan mengevaluasi ke false, permintaan ditolak List Blobs .

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Masukkan blob
Sumber atribut	Minta
Atribut	Cantumkan blob termasuk
Operator	ForAllOfAnyValues:StringEqualsIgnoreCase
Nilai	{'metadata', 'rekam jepret', 'versi'}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pembaca Data Blob Penyimpanan.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

Dalam contoh ini, kondisi membatasi tindakan baca saat suboperasi adalah Blob.List. Ini berarti bahwa operasi Blob Daftar dievaluasi lebih lanjut terhadap ekspresi yang memeriksa include nilai, tetapi semua tindakan baca lainnya diizinkan.

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Membatasi operasi blob daftar untuk tidak menyertakan metadata blob

Kondisi ini membatasi pengguna untuk mencantumkan blob saat metadata disertakan dalam permintaan. Atribut Cantumkan blob menyertakan tersedia untuk akun penyimpanan di mana namespace hierarkis tidak diaktifkan.

Catatan

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Masukkan blob
Sumber atribut	Minta
Atribut	Cantumkan blob termasuk
Operator	ForAllOfAllValues:StringNotEquals
Nilai	{'metadata'}

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pembaca Data Blob Penyimpanan.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Namespace hierarkis

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan apakah namespace hierarki diaktifkan untuk akun penyimpanan.

Contoh: Hanya baca akun penyimpanan dengan namespace hierarki diaktifkan

Kondisi ini memungkinkan pengguna untuk hanya membaca blob di akun penyimpanan dengan namespace hierarki diaktifkan. Kondisi ini hanya berlaku pada cakupan grup sumber daya atau yang lebih tinggi.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi menampilkan akses baca ke akun penyimpanan dengan namespace layanan hierarki yang diaktifkan.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob Semua operasi data untuk akun dengan namespace hierarki diaktifkan (jika berlaku)
Sumber atribut	Sumber daya
Atribut	Apakah namespace hierarki diaktifkan
Operator	BoolEquals
Nilai	Benar

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Pembaca Data Blob Penyimpanan, Kontributor Data Blob Penyimpanan

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Cakupan enkripsi

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek dengan cakupan enkripsi yang disetujui.

Contoh: Membaca blob dengan cakupan enkripsi tertentu

Kondisi ini memungkinkan pengguna untuk membaca blob yang dienkripsi dengan cakupan enkripsi validScope1 atau validScope2.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Diagram kondisi menampilkan akses baca ke blob dengan cakupan enkripsi validScope1 atau validScope2.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob
Sumber atribut	Sumber daya
Atribut	Nama cakupan enkripsi
Operator	ForAnyOfAnyValues:StringEquals
Nilai	<scopeName>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Membaca atau menulis blob di akun penyimpanan bernama dengan cakupan enkripsi tertentu

Kondisi ini memungkinkan pengguna untuk membaca atau menulis blob di akun penyimpanan bernama sampleaccount dan dienkripsi dengan cakupan enkripsi ScopeCustomKey1. Jika blob tidak dienkripsi atau didekripsi dengan ScopeCustomKey1, permintaan akan mengembalikan terlarang.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Catatan

Karena cakupan enkripsi untuk akun penyimpanan yang berbeda mungkin berbeda, sebaiknya gunakan atribut storageAccounts:name dengan atribut encryptionScopes:name untuk membatasi cakupan enkripsi tertentu yang diizinkan.

Diagram kondisi menampilkan akses baca atau tulis ke blob di akun penyimpanan sampleaccount dengan cakupan enkripsi ScopeCustomKey1.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca blob Menulis ke blob Membuat blob atau rekam jepret, atau menambahkan data
Sumber atribut	Sumber daya
Atribut	Nama akun
Operator	StringEquals
Nilai	<accountName>
Expression 2
Operator	Dan
Sumber atribut	Sumber daya
Atribut	Nama cakupan enkripsi
Operator	ForAnyOfAnyValues:StringEquals
Nilai	<scopeName>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Atribut utama

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan prinsip keamanan kustom.

Contoh: Membaca atau menulis blob berdasarkan tag indeks blob dan atribut keamanan khusus

Kondisi ini memungkinkan akses baca atau tulis ke blob jika pengguna memiliki atribut keamanan kustom yang cocok dengan tag indeks blob.

Misalnya, jika Brenda memiliki atribut Project=Baker, dia hanya dapat membaca atau menulis blob dengan Project=Baker tag indeks blob. Demikian pula, Chandra hanya dapat membaca atau menulis blob dengan Project=Cascade.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Untuk informasi lebih lanjut, lihat Mengizinkan akses baca ke blob berdasarkan tag dan atribut keamanan kustom.

Diagram kondisi menampilkan akses baca atau tulis ke blob berdasarkan tag indeks blob dan atribut keamanan kustom.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca kondisi blob
Sumber atribut	Kepala sekolah
Atribut	<attributeset>_<key>
Operator	StringEquals
Opsi	Atribut
Sumber atribut	Sumber daya
Atribut	Tag indeks blob [Nilai dalam kunci]
Tombol	<kunci>

Kondisi #2	Pengaturan
Tindakan	Menulis ke blob dengan tag indeks blob Menulis ke blob dengan tag indeks blob
Sumber atribut	Kepala sekolah
Atribut	<attributeset>_<key>
Operator	StringEquals
Opsi	Atribut
Sumber atribut	Minta
Atribut	Tag indeks blob [Nilai dalam kunci]
Tombol	<kunci>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Contoh: Membaca blob berdasarkan tag indeks blob dan atribut keamanan khusus multi-nilai

Kondisi ini memungkinkan akses baca ke blob jika pengguna memiliki atribut keamanan kustom dengan nilai apa pun yang cocok dengan tag indeks blob.

Misalnya, jika Chandra memiliki atribut Project dengan nilai Baker dan Cascade, maka ia hanya dapat membaca blob dengan tag indeks blob Project=Baker atau Project=Cascade.

Anda harus menambahkan ketentuan ini ke setiap penetapan peran yang menyertakan tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Untuk informasi lebih lanjut, lihat Mengizinkan akses baca ke blob berdasarkan tag dan atribut keamanan kustom.

Diagram kondisi menampilkan akses baca ke blob berdasarkan tag indeks blob dan atribut keamanan kustom multi nilai.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan portal Microsoft Azure.

Kondisi #1	Pengaturan
Tindakan	Membaca kondisi blob
Sumber atribut	Sumber daya
Atribut	Tag indeks blob [Nilai dalam kunci]
Tombol	<kunci>
Operator	ForAnyOfAnyValues:StringEquals
Opsi	Atribut
Sumber atribut	Kepala sekolah
Atribut	<attributeset>_<key>

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Atribut lingkungan

Bagian ini mencakup contoh yang menunjukkan cara membatasi akses ke objek berdasarkan lingkungan jaringan atau tanggal dan waktu saat ini.

Contoh: Mengizinkan akses baca ke blob setelah tanggal dan waktu tertentu

Kondisi ini memungkinkan akses baca ke kontainer container1 blob hanya setelah pukul 13.00 pada 1 Mei 2023 Universal Coordinated Time (UTC).

Ada dua tindakan potensial untuk membaca blob yang ada. Untuk membuat kondisi ini efektif bagi prinsipal yang memiliki beberapa penetapan peran, Anda harus menambahkan kondisi ini ke semua penetapan peran yang menyertakan salah satu tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya suboperasi Baca blob seperti yang diperlihatkan dalam tabel berikut ini.

Perbuatan	Suboperasi
Semua operasi baca	Membaca blob

Jangan pilih tindakan Semua operasi baca tingkat atas atau suboperasi lainnya seperti yang ditunjukkan pada gambar berikut:

Ekspresi build

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Pengaturan Nilai

Sumber atribut Sumber daya

Atribut Nama kontainer

Operator StringEquals

Nilai container1

Operator logis 'AND'

Sumber atribut Lingkungan

Atribut UtcNow

Operator DateTimeGreaterThan

Nilai 2023-05-01T13:00:00.000Z

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke dalam portal Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Pembaca Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Mengizinkan akses ke blob dalam kontainer tertentu dari subnet tertentu

Kondisi ini memungkinkan akses baca, tulis, tambahkan, dan hapus ke blob container1 hanya dari subnet default di jaringan virtualnetwork1virtual . Untuk menggunakan atribut Subnet dalam contoh ini, subnet harus mengaktifkan titik akhir layanan untuk Azure Storage.

Ada lima tindakan potensial untuk membaca, menulis, menambahkan, dan menghapus akses ke blob yang ada. Untuk membuat kondisi ini efektif bagi prinsipal yang memiliki beberapa penetapan peran, Anda harus menambahkan kondisi ini ke semua penetapan peran yang menyertakan salah satu tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya tindakan tingkat atas yang diperlihatkan dalam tabel berikut ini.

Perbuatan	Suboperasi
Semua operasi baca	n/a
Menulis ke blob	n/a
Membuat blob atau snapshot, atau menambahkan data	n/a
Hapus blob	n/a

Jangan pilih suboperasi individual seperti yang ditunjukkan pada gambar berikut:

Ekspresi build

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Pengaturan Nilai

Sumber atribut Sumber daya

Atribut Nama kontainer

Operator StringEquals

Nilai container1

Operator logis 'AND'

Sumber atribut Lingkungan

Atribut Subnet

Operator StringEqualsIgnoreCase

Nilai /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke dalam portal Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Kontributor Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Memerlukan akses tautan privat untuk membaca blob dengan sensitivitas tinggi

Kondisi ini mengharuskan permintaan untuk membaca blob di mana sensitivitas tag indeks blob memiliki nilai high untuk berada di atas tautan privat (tautan privat apa pun). Ini berarti semua upaya untuk membaca blob yang sangat sensitif dari internet publik tidak akan diizinkan. Pengguna dapat membaca blob dari internet publik yang memiliki sensitivitas yang diatur ke beberapa nilai selain high.

Tabel kebenaran untuk kondisi sampel ABAC ini mengikuti:

Tindakan	Sensitivitas	Tautan privat	Akses
Membaca blob	Tinggi	Ya	Diizinkan
Membaca blob	Tinggi	No	Tidak Diperbolehkan
Membaca blob	TIDAK tinggi	Ya	Diizinkan
Membaca blob	TIDAK tinggi	No	Diizinkan

Perbuatan Catatan

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor kondisi visual di portal Azure.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya suboperasi Baca blob seperti yang diperlihatkan dalam tabel berikut ini.

Perbuatan	Suboperasi
Semua operasi baca	Membaca blob

Jangan pilih tindakan Semua operasi baca tingkat atas dari suboperasi lain seperti yang ditunjukkan pada gambar berikut:

Ekspresi build

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Grupkan Pengaturan Nilai

Grup #1

Sumber atribut Sumber daya

Atribut Tag indeks blob [Nilai dalam kunci]

Tombol sensitivity

Operator StringEquals

Nilai high

Operator logis 'AND'

Sumber atribut Lingkungan

Atribut Apakah tautan privat

Operator BoolEquals

Nilai True

Akhir Grup #1

Operator logis 'OR'

Sumber atribut Sumber daya

Atribut Tag indeks blob [Nilai dalam kunci]

Tombol sensitivity

Operator StringNotEquals

Nilai high

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke dalam portal Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Pembaca Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Izinkan akses ke kontainer hanya dari titik akhir privat tertentu

Kondisi ini mengharuskan semua operasi baca, tulis, tambahkan, dan hapus untuk blob dalam kontainer penyimpanan bernama container1 dibuat melalui titik akhir privat bernama privateendpoint1. Untuk semua kontainer lain yang tidak bernama container1, akses tidak perlu melalui titik akhir privat.

Ada lima tindakan potensial untuk membaca, menulis, dan menghapus blob yang ada. Untuk membuat kondisi ini efektif bagi prinsipal yang memiliki beberapa penetapan peran, Anda harus menambahkan kondisi ini ke semua penetapan peran yang menyertakan salah satu tindakan berikut.

Perbuatan	Catatan
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan. Tambahkan jika akun penyimpanan yang termasuk dalam kondisi ini memiliki namespace hierarki yang diaktifkan atau mungkin diaktifkan di masa mendatang.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor kondisi visual di portal Azure.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya tindakan tingkat atas yang diperlihatkan dalam tabel berikut ini.

Perbuatan	Suboperasi
Semua operasi baca	n/a
Menulis ke blob	n/a
Membuat blob atau snapshot, atau menambahkan data	n/a
Hapus blob	n/a

Jangan pilih suboperasi individual seperti yang ditunjukkan pada gambar berikut:

Ekspresi build

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Grupkan Pengaturan Nilai

Grup #1

Sumber atribut Sumber daya

Atribut Nama kontainer

Operator StringEquals

Nilai container1

Operator logis 'AND'

Sumber atribut Lingkungan

Atribut Titik akhir privat

Operator StringEqualsIgnoreCase

Nilai /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Akhir Grup #1

Operator logis 'OR'

Sumber atribut Sumber daya

Atribut Nama kontainer

Operator StringNotEquals

Nilai container1

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke dalam portal Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, pilih salah satu sampel kode kondisi berikut, tergantung pada peran yang terkait dengan penugasan. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

Pemilik Data Blob Penyimpanan:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Kontributor Data Blob Penyimpanan:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Kontributor Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Contoh: Izinkan akses baca ke data blob yang sangat sensitif hanya dari titik akhir privat tertentu dan oleh pengguna yang ditandai untuk akses

Kondisi ini mengharuskan blob dengan sensitivitas tag indeks diatur ke high hanya dapat dibaca oleh pengguna yang memiliki nilai yang cocok untuk atribut keamanan sensitivitas mereka. Selain itu, mereka harus diakses melalui titik akhir privat bernama privateendpoint1. Blob yang memiliki nilai berbeda untuk tag sensitivitas dapat diakses melalui titik akhir lain atau Internet.

Perbuatan Catatan

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Tambahkan jika definisi peran menyertakan tindakan ini, seperti Pemilik Data Blob Penyimpanan.

Berikut adalah pengaturan untuk menambahkan kondisi ini menggunakan editor kondisi visual di portal Azure.

Menambahkan tindakan

Pilih Tambahkan tindakan, lalu pilih hanya suboperasi Baca blob seperti yang diperlihatkan dalam tabel berikut ini.

Perbuatan	Suboperasi
Semua operasi baca	Membaca blob

Jangan pilih tindakan tingkat atas seperti yang ditunjukkan pada gambar berikut:

Ekspresi build

Gunakan nilai dalam tabel berikut untuk menyusun bagian ekspresi kondisi:

Grupkan	Pengaturan	Nilai
Grup #1
	Sumber atribut	Kepala sekolah
	Atribut	<attributeset>_<key>
	Operator	StringEquals
	Opsi	Atribut
	Operator logis	'AND'
	Sumber atribut	Sumber daya
	Atribut	Tag indeks blob [Nilai dalam kunci]
	Tombol	<kunci>
	Operator logis	'AND'
	Sumber atribut	Lingkungan
	Atribut	Titik akhir privat
	Operator	StringEqualsIgnoreCase
	Nilai	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Akhir Grup #1
	Operator logis	'OR'
	Sumber atribut	Sumber daya
	Atribut	Tag indeks blob [Nilai dalam kunci]
	Tombol	`sensitivity`
	Operator	StringNotEquals
	Nilai	`high`

Gambar berikut menunjukkan kondisi setelah pengaturan dimasukkan ke dalam portal Azure. Anda harus mengelompokkan ekspresi untuk memastikan evaluasi yang benar.

Untuk menambahkan kondisi menggunakan editor kode, salin sampel kode kondisi berikut dan tempelkan ke editor kode. Setelah memasukkan kode Anda, beralih kembali ke editor visual untuk memvalidasinya.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Untuk mempelajari selengkapnya tentang bagaimana kondisi diformat dan dievaluasi, lihat Format kondisi.

Berikut cara menambahkan kondisi ini untuk peran Pembaca Data Blob Penyimpanan menggunakan Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bagikan melalui

Contoh kondisi penetapan peran Azure untuk Blob Storage

Prasyarat

Ringkasan contoh dalam artikel ini

Tag indeks blob

Contoh: Membaca blob dengan tag indeks blob

Contoh: Blob baru harus menyertakan tag indeks blob

Contoh: Blob yang ada harus memiliki kunci tag indeks blob

Contoh: Blob yang ada harus memiliki kunci dan nilai tag indeks blob

Nama atau jalur kontainer blob

Contoh: Membaca, menulis, atau menghapus blob dalam kontainer bernama

Contoh: Baca blob dalam kontainer bernama dengan jalur

Contoh: Baca atau daftar blob dalam kontainer bernama dengan jalur

Contoh: Tulis blob dalam kontainer yang bernama dengan jalur

Contoh: Baca blob dengan tag indeks blob dan jalur

Metadata kontainer blob

Contoh: Membaca blob dalam kontainer dengan metadata tertentu

Contoh: Menulis atau menghapus blob dalam kontainer dengan metadata tertentu

Versi blob atau snapshot blob

Contoh: Hanya baca versi blob saat ini

Contoh: Baca versi blob saat ini dan versi blob tertentu

Contoh: Menghapus versi blob lama

Contoh: Baca versi blob saat ini dan snapshot blob apa pun

Contoh: Izinkan operasi blob daftar untuk menyertakan metadata blob, rekam jepret, atau versi

Contoh: Membatasi operasi blob daftar untuk tidak menyertakan metadata blob

Namespace hierarkis

Contoh: Hanya baca akun penyimpanan dengan namespace hierarki diaktifkan

Cakupan enkripsi

Contoh: Membaca blob dengan cakupan enkripsi tertentu

Contoh: Membaca atau menulis blob di akun penyimpanan bernama dengan cakupan enkripsi tertentu

Atribut utama

Contoh: Membaca atau menulis blob berdasarkan tag indeks blob dan atribut keamanan khusus

Contoh: Membaca blob berdasarkan tag indeks blob dan atribut keamanan khusus multi-nilai

Atribut lingkungan

Contoh: Mengizinkan akses baca ke blob setelah tanggal dan waktu tertentu

Menambahkan tindakan

Ekspresi build

Contoh: Mengizinkan akses ke blob dalam kontainer tertentu dari subnet tertentu

Menambahkan tindakan

Ekspresi build

Contoh: Memerlukan akses tautan privat untuk membaca blob dengan sensitivitas tinggi

Menambahkan tindakan

Ekspresi build

Contoh: Izinkan akses ke kontainer hanya dari titik akhir privat tertentu

Menambahkan tindakan

Ekspresi build

Contoh: Izinkan akses baca ke data blob yang sangat sensitif hanya dari titik akhir privat tertentu dan oleh pengguna yang ditandai untuk akses

Menambahkan tindakan

Ekspresi build

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: