Azure Queue Storage 用 Azure のロールの割り当て条件のアクションと属性
この記事では、Azure ロールの割り当て条件で使用できるサポートされている属性ディクショナリについて、Azure Storage の DataAction ごとに説明します。 特定のアクセス許可または DataAction が影響する Queue サービス操作リストについては、Queue サービス操作のアクセス許可に関するセクションをご覧ください。
ロールの割り当て条件の形式については、「Azure ロールの割り当て条件の形式と構文」をご覧ください。
重要
Azure 属性ベースのアクセス制御 (Azure ABAC) は、ストレージ アカウントの Standard と Premium 両方のパフォーマンス レベルで、request、resource、environment、principal を使用して Azure Blob Storage、Azure Data Lake Storage Gen2、Azure キューへのアクセスを制御するために一般提供 (GA) されています。 現在、コンテナー メタデータ リソース属性とリスト BLOB インクルード要求属性はプレビュー段階です。 Azure Storage の ABAC の完全な機能状態情報については、「Azure Storage の条件機能の状態」を参照してください。
ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Azure Queue Storage のアクション
このセクションでは、条件の対象として使用できる、サポートされている Azure Queue Storage のアクションのリストを示します。
ストレージ アカウントでサポートされるアクションは次のとおりです。
| 表示名 | DataAction |
|---|---|
| メッセージをクイック表示する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| メッセージを追加する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| メッセージを追加または更新する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| メッセージをクリアする | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| メッセージを取得または削除する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
メッセージをクイック表示する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | メッセージをクイック表示する |
| 説明 | メッセージをクイック表示するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | 正しい |
メッセージを追加する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | メッセージを追加する |
| 説明 | メッセージを追加するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | 正しい |
メッセージを追加または更新する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | メッセージを追加または更新する |
| 説明 | メッセージを追加または更新するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | 正しい |
メッセージをクリアする
| プロパティ | 先頭値 |
|---|---|
| 表示名 | メッセージをクリアする |
| メッセージをクリアするための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | 正しい |
メッセージを取得または削除する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | メッセージを取得または削除する |
| メッセージを取得または削除するための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | 正しい |
Azure Queue Storage の属性
このセクションでは、ターゲットとするアクションに応じて、条件式で使用できる Azure Queue Storage 属性の一覧を示します。 1 つの条件に対して複数のアクションを選択した場合、属性は、選択したすべてのアクションに対して使用できる必要があるため、その条件に対して選択できる属性の数は少なくなる場合があります。
Note
表示されている属性と値は、特に明記されていない限り、大文字と小文字が区別されません。
次の表は、ソース別に使用可能な属性をまとめたものです。
| Attribute Source | Display name | 説明 |
|---|---|---|
| Environment | ||
| プライベート リンク | アクセスがプライベート リンク経由であるかどうか | |
| プライベート エンドポイント | オブジェクトへのアクセスで経由するプライベート エンドポイント | |
| サブネット | オブジェクトへのアクセスで経由するサブネット | |
| UTC 現在 | 協定世界時による現在の日付と時刻 | |
| リソース | ||
| アカウント名 | ストレージ アカウント名 | |
| キュー名 | ストレージ キュー名 |
アカウント名
| プロパティ | 先頭値 |
|---|---|
| 表示名 | アカウント名 |
| 説明 | ストレージ アカウントの名前。 |
| 属性 | Microsoft.Storage/storageAccounts:name |
| Attribute source (属性ソース) | リソース |
| 属性の型 | String |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount' |
Is private link (プライベート リンクかどうか)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Is private link (プライベート リンクかどうか) |
| 説明 | アクセスがプライベート リンク経由であるかどうか。 任意のプライベート エンドポイント経由のアクセスを要求するために使用します。 |
| 属性 | isPrivateLink |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | Boolean |
| 使用例 | @Environment[isPrivateLink] BoolEquals true例: 機密情報を含む BLOB を読み取るためにプライベート リンク アクセスを要求します |
| 詳細情報 | Azure Storage のプライベート エンドポイントを使用する |
プライベート エンドポイント
| プロパティ | 先頭値 |
|---|---|
| 表示名 | プライベート エンドポイント |
| 説明 | オブジェクトへのアクセスで経由するプライベート エンドポイント。 特定のプライベート エンドポイント経由にアクセスを制限するために使用します。 少なくとも 1 つのプライベート エンドポイントが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Network/privateEndpoints |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | String |
| 使用例 | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'例: 特定のプライベート エンドポイントからのみコンテナーへの読み取りアクセスを許可します |
| 詳細情報 | Azure Storage のプライベート エンドポイントを使用する |
キュー名
| プロパティ | 先頭値 |
|---|---|
| 表示名 | キュー名 |
| ストレージ キューの名前。 | |
| 属性 | Microsoft.Storage/storageAccounts/queueServices/queues:name |
| Attribute source (属性ソース) | リソース |
| 属性の型 | String |
サブネット
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Subnet |
| 説明 | オブジェクトへのアクセスで経由するサブネット。 特定のサブネットにアクセスを制限するために使用します。 少なくとも 1 つの仮想ネットワーク サブネットが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Network/virtualNetworks/subnets |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | String |
| 使用例 | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'例: 特定のサブネットから特定のコンテナー内の BLOB へのアクセスを許可します |
| 詳細情報 | サブネット |
UTC 現在
| プロパティ | 先頭値 |
|---|---|
| 表示名 | UTC 現在 |
| 説明 | 協定世界時による現在の日付と時刻。 特定の日付と期間のオブジェクトへのアクセスを制御するために使用します。 |
| 属性 | UtcNow |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | DateTime (DateTimeGreaterThan と DateTimeLessThan 演算子のみが [UTC 現在] 属性でサポートされています)。 |
| 使用例 | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'例: 特定の日付と時刻の後に BLOB への読み取りアクセスを許可します |