Udostępnij za pośrednictwem


Przykładowe warunki przypisywania ról platformy Azure dla usługi Blob Storage

W tym artykule wymieniono kilka przykładów warunków przypisywania ról na potrzeby kontrolowania dostępu do usługi Azure Blob Storage.

Ważne

Kontrola dostępu oparta na atrybutach platformy Azure (Azure ABAC) jest ogólnie dostępna do kontrolowania dostępu do usług Azure Blob Storage, Azure Data Lake Storage Gen2 i Azure Queues przy użyciu requestatrybutów , resource, environmenti principal zarówno w warstwach wydajności konta magazynu w warstwie Standardowa, jak i Premium Storage. Obecnie atrybut zasobu metadanych kontenera i lista obiektów blob dołączania atrybutu żądania są dostępne w wersji zapoznawczej. Aby uzyskać pełne informacje o stanie funkcji ABAC dla usługi Azure Storage, zobacz Stan funkcji warunku w usłudze Azure Storage.

Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Wymagania wstępne

Aby uzyskać informacje o wymaganiach wstępnych dotyczących dodawania lub edytowania warunków przypisywania ról, zobacz Warunki wstępne.

Podsumowanie przykładów w tym artykule

Skorzystaj z poniższej tabeli, aby szybko znaleźć przykład pasujący do scenariusza ABAC. Tabela zawiera krótki opis scenariusza oraz listę atrybutów używanych w przykładzie według źródła (środowisko, podmiot zabezpieczeń, żądanie i zasób).

Przykład Środowisko Główne Żądanie Zasób
Odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob tags
Nowe obiekty blob muszą zawierać tag indeksu obiektów blob tags
Istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob tags
Istniejące obiekty blob muszą mieć klucz i wartości tagu indeksu obiektów blob tags
Odczytywanie, zapisywanie lub usuwanie obiektów blob w nazwanych kontenerach nazwa kontenera
Odczytywanie obiektów blob w nazwanych kontenerach ze ścieżką ścieżka obiektu blob nazwy
kontenera
Odczytywanie lub wyświetlanie listy obiektów blob w nazwanych kontenerach ze ścieżką Prefiks obiektu blob ścieżka obiektu blob nazwy
kontenera
Zapisywanie obiektów blob w nazwanych kontenerach ze ścieżką ścieżka obiektu blob nazwy
kontenera
Odczytywanie obiektów blob przy użyciu tagu indeksu obiektów blob i ścieżki ścieżka tagów
obiektu blob
Odczytywanie obiektów blob w kontenerze z określonymi metadanymi metadane kontenera
Zapisywanie lub usuwanie obiektów blob w kontenerze z określonymi metadanymi metadane kontenera
Tylko do odczytu bieżące wersje obiektów blob isCurrentVersion
Odczytywanie bieżących wersji obiektów blob i określonej wersji obiektu blob versionId isCurrentVersion
Usuwanie starych wersji obiektów blob versionId
Odczytywanie bieżących wersji obiektów blob i wszystkich migawek obiektów blob migawka isCurrentVersion
Zezwalaj na operację list obiektów blob w celu uwzględnienia metadanych obiektów blob, migawek lub wersji lista obiektów blob include
Ogranicz operację obiektu blob listy, aby nie uwzględniać metadanych obiektu blob lista obiektów blob include
Konta magazynu tylko do odczytu z włączoną hierarchiczną przestrzenią nazw isHnsEnabled
Odczytywanie obiektów blob z określonymi zakresami szyfrowania Nazwa zakresu szyfrowania
Odczytywanie lub zapisywanie obiektów blob na nazwanym koncie magazynu z określonym zakresem szyfrowania Nazwa
zakresu szyfrowania konta magazynu
Odczytywanie lub zapisywanie obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń ID tags tags
Odczytywanie obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń o wielu wartościach ID tags
Zezwalaj na dostęp do odczytu do obiektów blob po określonej dacie i godzinie Utcnow nazwa kontenera
Zezwalaj na dostęp do obiektów blob w określonych kontenerach z określonej podsieci Podsieć nazwa kontenera
Wymaganie dostępu do łączy prywatnych w celu odczytu obiektów blob o wysokiej poufności isPrivateLink tags
Zezwalaj na dostęp do kontenera tylko z określonego prywatnego punktu końcowego Prywatny punkt końcowy nazwa kontenera
Przykład: Zezwalaj na dostęp do odczytu do wysoce poufnych danych obiektów blob tylko z określonego prywatnego punktu końcowego i przez użytkowników oznaczonych jako dostęp Prywatny punkt końcowy ID tags

Tagi indeksu obiektów blob

Ta sekcja zawiera przykłady dotyczące tagów indeksu obiektów blob.

Ważne

Read content from a blob with tag conditions Mimo że podoperacja jest obecnie obsługiwana w celu zapewnienia zgodności z warunkami zaimplementowanymi w wersji zapoznawczej funkcji ABAC, została wycofana i firma Microsoft zaleca użycie Read a blob akcji.

Podczas konfigurowania warunków ABAC w witrynie Azure Portal może zostać wyświetlony komunikat PRZESTARZAŁE: Odczyt zawartości z obiektu blob z warunkami tagu. Firma Microsoft zaleca usunięcie operacji i zastąpienie jej akcją Read a blob .

Jeśli tworzysz własny warunek, w którym chcesz ograniczyć dostęp do odczytu według warunków tagów, zobacz Przykład: odczyt obiektów blob z tagiem indeksu obiektów blob.

Przykład: odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob

Ten warunek umożliwia użytkownikom odczytywanie obiektów blob przy użyciu klucza tagu indeksu obiektów blob projektu i wartości kaskadowej. Próby uzyskania dostępu do obiektów blob bez tego tagu klucz-wartość nie są dozwolone.

Aby ten warunek był skuteczny dla podmiotu zabezpieczeń, należy dodać go do wszystkich przypisań ról, które obejmują następujące akcje:

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob z tagiem indeksu obiektów blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora wizualizacji witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz {keyName}
Operator StringEquals
Wartość {keyValue}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający dostęp do odczytu do obiektów blob z tagiem indeksu obiektów blob.

Przykład: Nowe obiekty blob muszą zawierać tag indeksu obiektów blob

Ten warunek wymaga, aby wszystkie nowe obiekty blob musiały zawierać klucz tagu indeksu obiektów blob projektu i wartość kaskady.

Istnieją dwie akcje, które umożliwiają tworzenie nowych obiektów blob, więc należy wybrać oba obiekty docelowe. Ten warunek należy dodać do wszystkich przypisań ról, które obejmują jedną z następujących akcji:

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający nowe obiekty blob musi zawierać tag indeksu obiektów blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający nowe obiekty blob musi zawierać tag indeksu obiektów blob.

Przykład: Istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob

Ten warunek wymaga otagowania wszystkich istniejących obiektów blob przy użyciu co najmniej jednego z dozwolonych kluczy tagów indeksu obiektów blob: Project lub Program. Ten warunek jest przydatny do dodawania ładu do istniejących obiektów blob.

Istnieją dwie akcje, które umożliwiają aktualizowanie tagów w istniejących obiektach blob, więc należy wybrać oba te akcje. Ten warunek należy dodać do wszystkich przypisań ról, które obejmują jedną z następujących akcji:

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający istniejące obiekty blob muszą mieć klucze tagów indeksu obiektów blob.

Przykład: Istniejące obiekty blob muszą mieć klucz i wartości tagu indeksu obiektów blob

Ten warunek wymaga, aby wszystkie istniejące obiekty blob miały klucz tagu indeksu obiektów blob projektu i wartości Cascade, Baker lub Skagit. Ten warunek jest przydatny do dodawania ładu do istniejących obiektów blob.

Istnieją dwie akcje, które umożliwiają aktualizowanie tagów w istniejących obiektach blob, więc należy wybrać oba te akcje. Ten warunek należy dodać do wszystkich przypisań ról, które obejmują jedną z następujących akcji.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający istniejące obiekty blob musi mieć klucz i wartości tagu indeksu obiektów blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob
Zapisywanie tagów indeksu obiektów blob
Źródło atrybutu Żądanie
Atrybut Tagi indeksu obiektów blob [Klucze]
Operator ForAnyOfAnyValues:StringEquals
Wartość {keyName}
Operator And
Expression 2
Źródło atrybutu Żądanie
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz {keyName}
Operator ForAllOfAnyValues:StringEquals
Wartość {keyValue1}
{keyValue2}
{keyValue3}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający istniejące obiekty blob muszą mieć klucz i wartości tagu indeksu obiektów blob.

Nazwy kontenerów obiektów blob lub ścieżki

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie nazwy kontenera lub ścieżki obiektu blob.

Przykład: odczyt, zapis lub usuwanie obiektów blob w nazwanych kontenerach

Ten warunek umożliwia użytkownikom odczytywanie, zapisywanie lub usuwanie obiektów blob w kontenerach magazynu o nazwie blobs-example-container. Ten warunek jest przydatny w przypadku udostępniania określonych kontenerów magazynu innym użytkownikom w ramach subskrypcji.

Istnieje pięć akcji odczytu, zapisu i usuwania istniejących obiektów blob. Ten warunek należy dodać do wszystkich przypisań ról, które obejmują jedną z następujących akcji.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.
Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Podoperacje nie są używane w tym warunku, ponieważ podoperacja jest wymagana tylko wtedy, gdy warunki są tworzone na podstawie tagów.

Diagram warunku przedstawiający odczyt, zapis lub usuwanie obiektów blob w nazwanych kontenerach.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Usuwanie obiektu blob
Odczytywanie obiektu blob
Zapisywanie w obiekcie blob
Tworzenie obiektu blob lub migawki lub dołączanie danych
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość {containerName}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający odczyt, zapis lub usuwanie obiektów blob w nazwanych kontenerach.

Przykład: odczytywanie obiektów blob w nazwanych kontenerach ze ścieżką

Ten warunek umożliwia dostęp do odczytu do kontenerów magazynu o nazwie blobs-example-container ze ścieżką obiektu blob readonly/*. Ten warunek jest przydatny w przypadku udostępniania określonych części kontenerów magazynu na potrzeby dostępu do odczytu innym użytkownikom w subskrypcji.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.
Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob w nazwanych kontenerach ze ścieżką.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość {containerName}
Expression 2
Operator And
Źródło atrybutu Zasób
Atrybut Ścieżka obiektu blob
Operator StringLike
Wartość {pathString}

Zrzut ekranu przedstawiający edytor warunków w witrynie Azure Portal przedstawiający dostęp do odczytu do obiektów blob w nazwanych kontenerach ze ścieżką.

Przykład: odczytywanie lub wyświetlanie listy obiektów blob w nazwanych kontenerach ze ścieżką

Ten warunek umożliwia dostęp do odczytu, a także dostęp do kontenerów magazynu o nazwie blobs-example-container ze ścieżką obiektu blob readonly/*. Warunek nr 1 dotyczy akcji odczytu z wyłączeniem obiektów blob listy. Warunek nr 2 dotyczy obiektów blob listy. Ten warunek jest przydatny w przypadku udostępniania określonych części kontenerów magazynu na potrzeby dostępu do odczytu lub listy innym użytkownikom w subskrypcji.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.
Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Diagram warunku przedstawiający dostęp do odczytu i listy obiektów blob w nazwanych kontenerach ze ścieżką.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Uwaga

Witryna Azure Portal używa prefiksu='' do wyświetlania listy obiektów blob z katalogu głównego kontenera. Po dodaniu warunku z operacją listy obiektów blob przy użyciu prefiksu StringStartsWith "readonly/" docelowi użytkownicy nie będą mogli wyświetlić listy obiektów blob z katalogu głównego kontenera w witrynie Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość {containerName}
Expression 2
Operator And
Źródło atrybutu Zasób
Atrybut Ścieżka obiektu blob
Operator StringStartsWith
Wartość {pathString}
Warunek 2 Ustawienie
Akcje Wyświetlanie listy obiektów blob
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość {containerName}
Expression 2
Operator And
Źródło atrybutu Żądanie
Atrybut Prefiks obiektu blob
Operator StringStartsWith
Wartość {pathString}

Przykład: zapisywanie obiektów blob w nazwanych kontenerach ze ścieżką

Ten warunek umożliwia partnerowi (użytkownikowi-gościowi usługi Microsoft Entra) upuszczanie plików do kontenerów magazynu o nazwie Contosocorp ze ścieżką przekazywania/contoso/*. Ten warunek jest przydatny w przypadku zezwalania innym użytkownikom na umieszczanie danych w kontenerach magazynu.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.
Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Diagram warunku przedstawiający dostęp do zapisu do obiektów blob w nazwanych kontenerach ze ścieżką.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Zapisywanie w obiekcie blob
Tworzenie obiektu blob lub migawki lub dołączanie danych
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość {containerName}
Expression 2
Operator And
Źródło atrybutu Zasób
Atrybut Ścieżka obiektu blob
Operator StringLike
Wartość {pathString}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający dostęp do zapisu do obiektów blob w nazwanych kontenerach ze ścieżką.

Przykład: odczytywanie obiektów blob za pomocą tagu indeksu obiektów blob i ścieżki

Ten warunek umożliwia użytkownikowi odczytywanie obiektów blob przy użyciu klucza tagu indeksu obiektów blob programu, wartości Alpine i ścieżki obiektu blob dzienników*. Ścieżka obiektu blob dzienników* zawiera również nazwę obiektu blob.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob z tagiem indeksu obiektów blob i ścieżką.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz {keyName}
Operator StringEquals
Wartość {keyValue}

Zrzut ekranu przedstawiający edytor warunku 1 w witrynie Azure Portal przedstawiający dostęp do odczytu do obiektów blob z tagiem indeksu obiektów blob i ścieżką.

Warunek 2 Ustawienie
Akcje Odczytywanie obiektu blob
Źródło atrybutu Zasób
Atrybut Ścieżka obiektu blob
Operator StringLike
Wartość {pathString}

Zrzut ekranu przedstawiający edytor warunku 2 w witrynie Azure Portal przedstawiający dostęp do odczytu do obiektów blob z tagiem indeksu obiektów blob i ścieżką.

Metadane kontenera obiektów blob

Przykład: odczyt obiektów blob w kontenerze z określonymi metadanymi

Ten warunek umożliwia użytkownikom odczytywanie obiektów blob w kontenerach obiektów blob z określoną parą klucza/wartości metadanych.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Źródło atrybutu Zasób
Atrybut Metadane kontenera
Operator StringEquals
Wartość {containerName}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający odczyt obiektu blob w kontenerze z określonymi metadanymi.

Przykład: zapisywanie lub usuwanie obiektów blob w kontenerze z określonymi metadanymi

Ten warunek umożliwia użytkownikom zapisywanie lub usuwanie obiektów blob w kontenerach obiektów blob z określoną parą klucza/wartości metadanych.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Zapisywanie w obiekcie blob
Usuwanie obiektu blob
Źródło atrybutu Zasób
Atrybut Metadane kontenera
Operator StringEquals
Wartość {containerName}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający zapisywanie i usuwanie obiektu blob w kontenerze z określonymi metadanymi.

Wersje obiektów blob lub migawki obiektów blob

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie wersji obiektu blob lub migawki.

Przykład: tylko do odczytu bieżące wersje obiektów blob

Ten warunek umożliwia użytkownikowi odczytywanie tylko bieżących wersji obiektów blob. Użytkownik nie może odczytać innych wersji obiektów blob.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu tylko do bieżącej wersji obiektu blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Zasób
Atrybut Jest bieżącą wersją
Operator BoolEquals
Wartość Prawda

Przykład: Odczytywanie bieżących wersji obiektów blob i określonej wersji obiektu blob

Ten warunek umożliwia użytkownikowi odczytywanie bieżących wersji obiektów blob oraz odczytywanie obiektów blob z identyfikatorem wersji 2022-06-01T23:38:32.8883645Z. Użytkownik nie może odczytać innych wersji obiektów blob. Atrybut Identyfikator wersji jest dostępny tylko dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Diagram warunku przedstawiający dostęp do odczytu do określonej wersji obiektu blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Źródło atrybutu Żądanie
Atrybut Identyfikator wersji
Operator DateTimeEquals
Wartość <blobVersionId>
Expression 2
Operator Or
Źródło atrybutu Zasób
Atrybut Jest bieżącą wersją
Operator BoolEquals
Wartość Prawda

Przykład: Usuwanie starych wersji obiektów blob

Ten warunek umożliwia użytkownikowi usunięcie wersji obiektu blob starszego niż 06.01.2022 w celu przeprowadzenia czyszczenia. Atrybut Identyfikator wersji jest dostępny tylko dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Diagram warunku przedstawiający usuwanie dostępu do starych wersji obiektów blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Usuwanie obiektu blob
Usuwanie wersji obiektu blob
Źródło atrybutu Żądanie
Atrybut Identyfikator wersji
Operator DateTimeLessThan
Wartość <blobVersionId>

Przykład: Odczytywanie bieżących wersji obiektów blob i wszystkich migawek obiektów blob

Ten warunek umożliwia użytkownikowi odczytywanie bieżących wersji obiektów blob i wszystkich migawek obiektów blob. Atrybut Identyfikator wersji jest dostępny tylko dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona. Atrybut Migawka jest dostępny dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona i obecnie w wersji zapoznawczej dla kont magazynu, w których włączono hierarchiczną przestrzeń nazw.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do bieżących wersji obiektów blob i wszystkich migawek obiektów blob.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Żądanie
Atrybut Migawka
Exists Sprawdzane
Expression 2
Operator Or
Źródło atrybutu Zasób
Atrybut Jest bieżącą wersją
Operator BoolEquals
Wartość Prawda

Przykład: Zezwalaj na operację listy obiektów blob w celu uwzględnienia metadanych obiektów blob, migawek lub wersji

Ten warunek umożliwia użytkownikowi wyświetlanie listy obiektów blob w kontenerze oraz dołączanie metadanych, migawek i informacji o wersji. Atrybut Dołączanie obiektów blob listy jest dostępny dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Uwaga

Uwzględnij listę obiektów blob jest atrybutem żądania i działa przez zezwolenie na lub ograniczenie wartości w parametrze include podczas wywoływania operacji List Blobs . Wartości w parametrze include są porównywane z wartościami określonymi w warunku przy użyciu operatorów porównania między produktami. Jeśli porównanie daje wartość true, List Blobs żądanie jest dozwolone. Jeśli porównanie zwróci wartość false, List Blobs żądanie zostanie odrzucone.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Wyświetlanie listy obiektów blob
Źródło atrybutu Żądanie
Atrybut Lista obiektów blob zawiera
Operator ForAllOfAnyValues:StringEqualsIgnoreCase
Wartość {'metadata', 'snapshots', 'versions'}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający warunek umożliwiający użytkownikowi wyświetlanie listy obiektów blob w kontenerze oraz dołączanie metadanych, migawek i informacji o wersji.

Przykład: ograniczanie operacji obiektów blob listy w celu braku uwzględnienia metadanych obiektu blob

Ten warunek ogranicza użytkownikowi wyświetlanie listy obiektów blob, gdy metadane są uwzględniane w żądaniu. Atrybut Dołączanie obiektów blob listy jest dostępny dla kont magazynu, w których hierarchiczna przestrzeń nazw nie jest włączona.

Uwaga

Uwzględnij listę obiektów blob jest atrybutem żądania i działa przez zezwolenie na lub ograniczenie wartości w parametrze include podczas wywoływania operacji List Blobs . Wartości w parametrze include są porównywane z wartościami określonymi w warunku przy użyciu operatorów porównania między produktami. Jeśli porównanie daje wartość true, List Blobs żądanie jest dozwolone. Jeśli porównanie zwróci wartość false, List Blobs żądanie zostanie odrzucone.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Wyświetlanie listy obiektów blob
Źródło atrybutu Żądanie
Atrybut Lista obiektów blob zawiera
Operator ForAllOfAllValues:StringNotEquals
Wartość {'metadata'}

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający warunek ograniczania użytkownikowi wyświetlania listy obiektów blob, gdy metadane są uwzględniane w żądaniu.

Hierarchiczna przestrzeń nazw

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie tego, czy hierarchiczna przestrzeń nazw jest włączona dla konta magazynu.

Przykład: konta magazynu tylko do odczytu z włączoną hierarchiczną przestrzenią nazw

Ten warunek umożliwia użytkownikowi odczytywanie tylko obiektów blob na kontach magazynu z włączoną hierarchiczną przestrzenią nazw . Ten warunek ma zastosowanie tylko w zakresie grupy zasobów lub wyższym.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do kont magazynu z włączoną hierarchiczną przestrzenią nazw.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Wszystkie operacje na danych dla kont z włączoną hierarchiczną przestrzenią nazw (jeśli dotyczy)
Źródło atrybutu Zasób
Atrybut Czy włączono hierarchiczną przestrzeń nazw
Operator BoolEquals
Wartość Prawda

Zakres szyfrowania

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów za pomocą zatwierdzonego zakresu szyfrowania.

Przykład: odczytywanie obiektów blob z określonymi zakresami szyfrowania

Ten warunek umożliwia użytkownikowi odczytywanie obiektów blob zaszyfrowanych za pomocą zakresu validScope1 szyfrowania lub validScope2.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob z zakresem szyfrowania validScope1 lub validScope2.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Źródło atrybutu Zasób
Atrybut Nazwa zakresu szyfrowania
Operator ForAnyOfAnyValues:StringEquals
Wartość <Scopename>

Przykład: odczyt lub zapis obiektów blob na nazwanym koncie magazynu z określonym zakresem szyfrowania

Ten warunek umożliwia użytkownikowi odczytywanie lub zapisywanie obiektów blob na koncie magazynu o nazwie sampleaccount i zaszyfrowaniu przy użyciu zakresu ScopeCustomKey1szyfrowania. Jeśli obiekty blob nie są szyfrowane ani odszyfrowywane za pomocą ScopeCustomKey1metody , żądanie zwraca niedozwolone.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Uwaga

Ponieważ zakresy szyfrowania dla różnych kont magazynu mogą być inne, zaleca się użycie atrybutu storageAccounts:name z atrybutem encryptionScopes:name w celu ograniczenia dozwolonego zakresu szyfrowania.

Diagram warunku przedstawiający dostęp do odczytu lub zapisu do obiektów blob na koncie magazynu sampleaccount z zakresem szyfrowania ScopeCustomKey1.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie obiektu blob
Zapisywanie w obiekcie blob
Tworzenie obiektu blob lub migawki lub dołączanie danych
Źródło atrybutu Zasób
Atrybut Nazwa konta
Operator StringEquals
Wartość <Accountname>
Expression 2
Operator And
Źródło atrybutu Zasób
Atrybut Nazwa zakresu szyfrowania
Operator ForAnyOfAnyValues:StringEquals
Wartość <Scopename>

Atrybuty podmiotu zabezpieczeń

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów na podstawie niestandardowych podmiotów zabezpieczeń.

Przykład: odczytywanie lub zapisywanie obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń

Ten warunek umożliwia dostęp do odczytu lub zapisu do obiektów blob, jeśli użytkownik ma niestandardowy atrybut zabezpieczeń zgodny z tagiem indeksu obiektów blob.

Jeśli na przykład Brenda ma atrybut Project=Baker, może tylko odczytywać lub zapisywać obiekty blob za pomocą tagu indeksu Project=Baker obiektów blob. Podobnie usługa Chandra może tylko odczytywać lub zapisywać obiekty blob za pomocą polecenia Project=Cascade.

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następujące akcje.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Aby uzyskać więcej informacji, zobacz Zezwalanie na dostęp do odczytu do obiektów blob na podstawie tagów i niestandardowych atrybutów zabezpieczeń.

Diagram warunku przedstawiający dostęp do odczytu lub zapisu do obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie warunków obiektu blob
Źródło atrybutu Główny
Atrybut <attributeset>_<key>
Operator StringEquals
Opcja Atrybut
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz <key>
Warunek 2 Ustawienie
Akcje Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob
Zapisywanie w obiekcie blob przy użyciu tagów indeksu obiektów blob
Źródło atrybutu Główny
Atrybut <attributeset>_<key>
Operator StringEquals
Opcja Atrybut
Źródło atrybutu Żądanie
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz <key>

Przykład: Odczytaj obiekty blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń o wielu wartościach

Ten warunek umożliwia dostęp do odczytu do obiektów blob, jeśli użytkownik ma niestandardowy atrybut zabezpieczeń z dowolnymi wartościami zgodnymi z tagiem indeksu obiektów blob.

Jeśli na przykład Chandra ma atrybut Project z wartościami Baker i Cascade, może odczytywać tylko obiekty blob z tagiem indeksu Project=Baker obiektów blob lub Project=Cascade .

Ten warunek należy dodać do wszystkich przypisań ról, które obejmują następującą akcję.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Aby uzyskać więcej informacji, zobacz Zezwalanie na dostęp do odczytu do obiektów blob na podstawie tagów i niestandardowych atrybutów zabezpieczeń.

Diagram warunku przedstawiający dostęp do odczytu do obiektów blob na podstawie tagów indeksu obiektów blob i niestandardowych atrybutów zabezpieczeń wielowartościowych.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu witryny Azure Portal.

Warunek 1 Ustawienie
Akcje Odczytywanie warunków obiektu blob
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz <key>
Operator ForAnyOfAnyValues:StringEquals
Opcja Atrybut
Źródło atrybutu Główny
Atrybut <attributeset>_<key>

Atrybuty środowiska

Ta sekcja zawiera przykłady pokazujące, jak ograniczyć dostęp do obiektów w oparciu o środowisko sieciowe lub bieżącą datę i godzinę.

Przykład: Zezwalaj na dostęp do odczytu do obiektów blob po określonej dacie i godzinie

Ten warunek umożliwia dostęp do odczytu do kontenera container1 obiektów blob dopiero po 13:00 w dniu 1 maja 2023 r. uniwersalny czas koordynowany (UTC).

Istnieją dwa potencjalne akcje odczytu istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko podoperację Odczytuj obiekt blob , jak pokazano w poniższej tabeli.

Akcja Podoperacja
Wszystkie operacje odczytu Odczytywanie obiektu blob

Nie wybieraj akcji Wszystkie operacje odczytu najwyższego poziomu ani żadnych innych podoperacji, jak pokazano na poniższej ilustracji:

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający wybór tylko operacji odczytu.

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Ustawienie Wartość
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość container1
Operator logiczny "AND"
Źródło atrybutu Środowisko
Atrybut Utcnow
Operator DateTimeGreaterThan
Wartość 2023-05-01T13:00:00.000Z

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający dostęp do odczytu dozwolony po określonej dacie i godzinie.

Przykład: Zezwalaj na dostęp do obiektów blob w określonych kontenerach z określonej podsieci

Ten warunek umożliwia dostęp do odczytu, zapisu, dodawania i usuwania obiektów blob tylko z podsieci container1 default w sieci virtualnetwork1wirtualnej. Aby użyć atrybutu Podsieć w tym przykładzie, podsieć musi mieć włączone punkty końcowe usługi dla usługi Azure Storage.

Istnieje pięć potencjalnych akcji dotyczących odczytu, zapisu, dodawania i usuwania do istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko akcje najwyższego poziomu pokazane w poniższej tabeli.

Akcja Podoperacja
Wszystkie operacje odczytu N/a
Zapisywanie w obiekcie blob N/a
Tworzenie obiektu blob lub migawki lub dołączanie danych N/a
Usuwanie obiektu blob N/a

Nie wybieraj żadnych pojedynczych podoperacji, jak pokazano na poniższej ilustracji:

Zrzut ekranu przedstawiający edytor warunków w witrynie Azure Portal przedstawiający wybór operacji odczytu, zapisu, dodawania i usuwania.

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Ustawienie Wartość
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość container1
Operator logiczny "AND"
Źródło atrybutu Środowisko
Atrybut Podsieć
Operator StringEqualsIgnoreCase
Wartość /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający dostęp do odczytu do określonych kontenerów dozwolonych z określonej podsieci.

Ten warunek wymaga, aby żądania odczytuły obiekty blob, w których czułość tagu indeksu obiektów blob ma wartość high typu "over a private link" (dowolny link prywatny). Oznacza to, że wszystkie próby odczytu bardzo wrażliwych obiektów blob z publicznego Internetu nie będą dozwolone. Użytkownicy mogą odczytywać obiekty blob z publicznego Internetu, które mają czułość ustawioną na wartość inną niż high.

Tabela prawdy dla tego przykładowego warunku ABAC jest następująca:

Działania Czułość Łącze prywatne Dostęp
Odczytywanie obiektu blob Wysokiej Tak Dozwolone
Odczytywanie obiektu blob Wysokiej Nie. Niedozwolone
Odczytywanie obiektu blob NIE wysoki Tak Dozwolone
Odczytywanie obiektu blob NIE wysoki Nie. Dozwolone

Istnieją dwa potencjalne akcje odczytu istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora warunków wizualnych w witrynie Azure Portal.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko podoperację Odczytuj obiekt blob , jak pokazano w poniższej tabeli.

Akcja Podoperacja
Wszystkie operacje odczytu Odczytywanie obiektu blob

Nie wybieraj akcji Wszystkie operacje odczytu na najwyższym poziomie innych podoperacji, jak pokazano na poniższej ilustracji:

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający wybór tylko operacji odczytu.

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Grupuj Ustawienie Wartość
Grupa nr 1
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz sensitivity
Operator StringEquals
Wartość high
Operator logiczny "AND"
Źródło atrybutu Środowisko
Atrybut Jest łączem prywatnym
Operator BoolEquals
Wartość True
Koniec grupy nr 1
Operator logiczny "OR"
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz sensitivity
Operator StringNotEquals
Wartość high

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający dostęp do odczytu wymagający jakiegokolwiek łącza prywatnego dla poufnych danych.

Przykład: Zezwalaj na dostęp do kontenera tylko z określonego prywatnego punktu końcowego

Ten warunek wymaga, aby wszystkie operacje odczytu, zapisu, dodawania i usuwania obiektów blob w kontenerze magazynu o nazwie zostały wykonane za pośrednictwem prywatnego punktu końcowego o nazwie container1 privateendpoint1. W przypadku wszystkich innych kontenerów, które nie mają nazwy container1, dostęp nie musi być za pośrednictwem prywatnego punktu końcowego.

Istnieje pięć potencjalnych akcji odczytu, zapisu i usuwania istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.
Dodaj, czy konta magazynu uwzględnione w tym warunku mają włączoną hierarchiczną przestrzeń nazw lub mogą być włączone w przyszłości.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora warunków wizualnych w witrynie Azure Portal.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko akcje najwyższego poziomu pokazane w poniższej tabeli.

Akcja Podoperacja
Wszystkie operacje odczytu N/a
Zapisywanie w obiekcie blob N/a
Tworzenie obiektu blob lub migawki lub dołączanie danych N/a
Usuwanie obiektu blob N/a

Nie wybieraj żadnych pojedynczych podoperacji, jak pokazano na poniższej ilustracji:

Zrzut ekranu przedstawiający edytor warunków w witrynie Azure Portal przedstawiający wybór operacji odczytu, zapisu, dodawania i usuwania.

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Grupuj Ustawienie Wartość
Grupa nr 1
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringEquals
Wartość container1
Operator logiczny "AND"
Źródło atrybutu Środowisko
Atrybut Prywatny punkt końcowy
Operator StringEqualsIgnoreCase
Wartość /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Koniec grupy nr 1
Operator logiczny "OR"
Źródło atrybutu Zasób
Atrybut Nazwa kontenera
Operator StringNotEquals
Wartość container1

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Zrzut ekranu przedstawiający edytor warunków w witrynie Azure Portal przedstawiający odczyt, zapis lub usuwanie obiektów blob w nazwanych kontenerach z atrybutem prywatnego środowiska punktu końcowego.

Przykład: Zezwalaj na dostęp do odczytu do wysoce poufnych danych obiektów blob tylko z określonego prywatnego punktu końcowego i przez użytkowników oznaczonych jako dostęp

Ten warunek wymaga, aby high obiekty blob z ustawioną poufnością tagów indeksu mogły być odczytywane tylko przez użytkowników, którzy mają zgodną wartość atrybutu zabezpieczeń poufności. Ponadto należy uzyskać do nich dostęp za pośrednictwem prywatnego punktu końcowego o nazwie privateendpoint1. Do obiektów blob, które mają inną wartość tagu poufności , można uzyskać dostęp za pośrednictwem innych punktów końcowych lub Internetu.

Istnieją dwa potencjalne akcje odczytu istniejących obiektów blob. Aby ten warunek był skuteczny dla podmiotów zabezpieczeń, które mają wiele przypisań ról, należy dodać ten warunek do wszystkich przypisań ról, które obejmują dowolną z następujących akcji.

Akcja Uwagi
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Dodaj, jeśli definicja roli zawiera tę akcję, taką jak właściciel danych obiektu blob usługi Storage.

Warunek można dodać do przypisania roli przy użyciu witryny Azure Portal lub programu Azure PowerShell. Portal ma dwa narzędzia do tworzenia warunków ABAC — edytora wizualizacji i edytora kodu. Możesz przełączać się między dwoma edytorami w witrynie Azure Portal, aby wyświetlić warunki w różnych widokach. Przełącz się między kartą Edytor wizualizacji a kartami Edytor kodu, aby wyświetlić przykłady dla preferowanego edytora portalu.

Poniżej przedstawiono ustawienia umożliwiające dodanie tego warunku przy użyciu edytora warunków wizualnych w witrynie Azure Portal.

Dodaj akcję

Wybierz pozycję Dodaj akcję, a następnie wybierz tylko podoperację Odczytuj obiekt blob , jak pokazano w poniższej tabeli.

Akcja Podoperacja
Wszystkie operacje odczytu Odczytywanie obiektu blob

Nie wybieraj akcji najwyższego poziomu, jak pokazano na poniższej ilustracji:

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający wybór operacji odczytu obiektu blob.

Kompiluj wyrażenie

Użyj wartości w poniższej tabeli, aby skompilować część wyrażenia warunku:

Grupuj Ustawienie Wartość
Grupa nr 1
Źródło atrybutu Główny
Atrybut <attributeset>_<key>
Operator StringEquals
Opcja Atrybut
Operator logiczny "AND"
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz <key>
Operator logiczny "AND"
Źródło atrybutu Środowisko
Atrybut Prywatny punkt końcowy
Operator StringEqualsIgnoreCase
Wartość /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Koniec grupy nr 1
Operator logiczny "OR"
Źródło atrybutu Zasób
Atrybut Tagi indeksu obiektów blob [wartości w kluczu]
Klucz sensitivity
Operator StringNotEquals
Wartość high

Na poniższej ilustracji przedstawiono warunek po wprowadzeniu ustawień w witrynie Azure Portal. Aby zapewnić poprawną ocenę, należy grupować wyrażenia.

Zrzut ekranu edytora warunków w witrynie Azure Portal przedstawiający dostęp do odczytu dozwolony przez określony prywatny punkt końcowy dla oznakowanych użytkowników.

Następne kroki