Exemplo de condições de atribuição de função do Azure para o Armazenamento de Blobs

Artigo
04/14/2024

Este artigo lista alguns exemplos de condições de atribuição de função para controlar o acesso ao Armazenamento de Blobs do Azure.

Importante

O ABAC (controle de acesso baseado em atributos) do Azure está em GA (disponibilidade geral) para controlar o acesso ao Armazenamento de Blobs do Azure, ao Azure Data Lake Storage Gen2 e às Filas do Azure usando atributos request, resource, environment e principal nas camadas de desempenho da conta de armazenamento Standard e Premium. No momento, o atributo do recurso de metadados de contêiner e o atributo de solicitação de inclusão de blob de lista estão em VERSÃO PRÉVIA. Para obter informações completas sobre o status do recurso do ABAC para o Armazenamento do Azure, consulte Status dos recursos de condição no Armazenamento do Azure.

Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

Para obter informações sobre os pré-requisitos para adicionar ou editar condições de atribuição de função, confira Pré-requisitos das condições.

Resumo de exemplos deste artigo

Use a seguinte tabela para localizar rapidamente um exemplo que encaixa em seu cenário ABAC. A tabela inclui uma breve descrição do cenário, além de uma lista de atributos usados no exemplo pela origem (ambiente, entidade de segurança, solicitação e recurso).

Exemplo	Ambiente	Principal	Solicitação	Recurso
Leitura de blobs com uma marca de índice de blob				marcas
Novos blobs devem incluir uma marca de índice de blob			marcas
Os blobs existentes devem ter chaves de marca de índice de blob			marcas
Os blobs existentes devem ter chaves e valores de marca de índice de blob			marcas
Ler, gravar ou excluir blobs nos contêineres nomeados				nome do contêiner
Leitura de blobs em contêineres nomeados com um caminho				nome-do contêiner caminho do blob
Leitura ou lista de blobs em contêineres nomeados com um caminho			prefixo do blob	nome-do contêiner caminho do blob
Gravar blobs em contêineres nomeados com um caminho				nome-do contêiner caminho do blob
Leitura de blobs com uma marca de índice de blob e um caminho				marcas caminho do blob
Ler blobs em contêineres com metadados específicos				container metadata
Gravar ou excluir blobs em contêineres com metadados específicos				container metadata
Leitura de apenas versões atuais do blob				isCurrentVersion
Leitura das versões atuais do blob e de uma versão específica do blob			versionId	isCurrentVersion
Excluir versões antigas do blob			versionId
Leitura de versões atuais do blob e de quaisquer instantâneos de blob			instantâneo	isCurrentVersion
Permitir que a operação de blob de lista inclua metadados, instantâneos ou versões de blob			list blob include
Restringir a operação de blob de lista para não incluir metadados de blob			list blob include
Leitura de apenas contas de armazenamento com namespace hierárquico habilitado				isHnsEnabled
Leitura de blobs com escopos específicos de criptografia				Nome do escopo de criptografia
Ler ou gravar blobs na conta de armazenamento nomeada com escopo específico de criptografia				Nome da conta de armazenamento Nome do escopo da criptografia
Ler ou gravar blobs com base em marcas de índice de blob e atributos de segurança personalizados		ID	tags	tags
Leitura de blobs com base em marcas de índice de blob e atributos de segurança personalizados de vários valores		ID		marcas
Permitir o acesso de leitura dos blobs após uma data e hora específicas	UtcNow			nome do contêiner
Permitir acesso a blobs em contêineres específicos de uma sub-rede específica	Sub-rede			nome do contêiner
Exigir acesso ao link privado para leitura de blobs com alta confidencialidade	isPrivateLink			marcas
Permitir acesso a um contêiner apenas a partir de um ponto de extremidade privado específico	Ponto de extremidade privado			nome do contêiner
Permitir acesso de leitura a dados de blob altamente confidenciais apenas a partir de um ponto de extremidade privado específico e por usuários marcados para acesso	Ponto de extremidade privado	ID		marcas

Marcas de índice de blob

Esta seção inclui exemplos que envolvem marcas de índice de blob.

Importante

Embora atualmente a suboperação Read content from a blob with tag conditions tenha suporte para compatibilidade com condições implementadas durante a versão prévia dos recursos do ABAC, ela foi preterida e a Microsoft recomenda usar a ação Read a blobno lugar dela.

Ao configurar as condições do ABAC no portal do Azure, você poderá ver PRETERIDO: ler conteúdo de um blob com condições de marca. A Microsoft recomenda remover a operação e substituí-la pela ação Read a blob.

Se você estiver criando sua própria condição em que deseja restringir o acesso de leitura por condições de marca, veja Exemplo: ler blobs com uma marca de índice de blob.

Exemplo: ler blobs com uma marca de índice de blob

Essa condição permite que os usuários leiam blobs com uma chave de marca de índice de blob do Project e um valor de Cascade. Tentativas de acessar blobs sem essa marca de chave-valor não são permitidas.

Para que esta condição seja eficiente para uma entidade de segurança, você deve adicioná-la a todas as atribuições de função que incluam as seguintes ações:

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição que mostra o acesso de leitura aos blobs com uma marca de índice de blob.

A condição pode ser adicionada a uma atribuição de função usando o portal do Azure ou o Azure PowerShell. O portal tem duas ferramentas para compilar condições no ABAC - o editor de visual e o editor de código. Você pode alternar entre os dois editores no portal do Azure para ver suas condições em diferentes exibições. Alterne entre a guia Editor de visual e as guias do Editor de código para exibir os exemplos do editor de portal de sua preferência.

Aqui estão as configurações para adicionar essa condição usando o editor do portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	StringEquals
Valor	{keyValue}

Para adicionar a condição usando o editor de código, copie o exemplo de código de condição e cole-o no editor de código. Depois de inserir seu código, volte para o editor de visual para validá-lo.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Neste exemplo, a condição restringe a ação de leitura, exceto quando a suboperação é Blob.List. Isso significa que uma operação Listar Blobs é permitida, mas todas as outras ações de leitura são avaliadas em relação à expressão que verifica a marca de índice de blob.

Se um usuário tentar executar uma ação na função atribuída que não é uma ação restrita pela condição, !(ActionMatches) é avaliado como verdadeiro e a condição geral é avaliada como verdadeira. Este resultado permite que a ação seja executada.

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Exemplo: novos blobs devem incluir uma marca de índice de blob

Essa condição requer que todos os blobs novos incluam uma chave de marca de índice de blob do Project e um valor de Cascade.

Existem duas ações que possibilitam que você crie novos blobs. Portanto, você deve direcionar ambas. Você deve adicionar essa condição a todas as atribuições de função que incluam uma das ações a seguir:

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de uma condição que mostra que os novos blobs precisam incluir uma marca de índice de blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Gravar em um blob com marcas de índice de blob Gravar em um blob com marcas de índice de blob
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	StringEquals
Valor	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Exemplo: os blobs existentes devem ter chaves de marca de índice de blob

Essa condição requer que todos os blobs existentes sejam marcados com pelo menos uma das chaves de marca de índice de blob: Project ou Program. Essa condição é útil para adicionar governança aos blobs existentes.

Existem duas ações que possibilitam que você atualize marcas em blobs existentes. Portanto, você deve direcionar ambas. Você deve adicionar essa condição a todas as atribuições de função que incluam uma das ações a seguir:

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de uma condição que mostra que os blobs existentes precisam ter chaves de marca de índice de blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Gravar em um blob com marcas de índice de blob Gravar marcas de índice de blob
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Chaves]
Operador	ForAllOfAnyValues:StringEquals
Valor	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Exemplo: os blobs existentes devem ter chaves e valores de marca de índice de blob

Essa condição exige que todos os blobs existentes tenham uma chave de marca de índice de blob do Project e os valores de Cascade, Baker ou Skagit. Essa condição é útil para adicionar governança aos blobs existentes.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de uma condição que mostra que os blobs existentes precisam ter valores e uma chave de marca de índice de blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Gravar em um blob com marcas de índice de blob Gravar marcas de índice de blob
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Chaves]
Operador	ForAnyOfAnyValues:StringEquals
Valor	{keyName}
Operador	E
Expressão 2
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	ForAllOfAnyValues:StringEquals
Valor	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Nomes ou caminhos de contêiner de blob

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base no nome do contêiner ou no caminho do blob.

Exemplo: ler, gravar ou excluir blobs nos contêineres nomeados

Essa condição permite que os usuários leiam, gravem ou excluam blobs em contêineres de armazenamento chamados blobs-example-container. Essa condição é útil para compartilhar contêineres de armazenamento específicos com outros usuários em uma assinatura.

Há cinco ações de leitura, gravação e exclusão de blobs existentes. Você deve adicionar essa condição a todas as atribuições de função que incluam uma das ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou que possa ser habilitado futuramente.

As suboperações não são usadas nessa condição porque a suboperação é necessária somente quando as condições são criadas com base em marcas.

Diagrama de uma condição que mostra a leitura, a gravação ou a exclusão de blobs em contêineres nomeados.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Excluir um blob Ler um blob Gravar em um blob Criar um blob ou um instantâneo ou acrescentar dados Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}

Proprietário de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Colaborador de dados de blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Exemplo: ler blobs em contêineres nomeados com um caminho

Essa condição permite acesso de leitura a contêineres de armazenamento chamados blobs-example-container com um caminho de blob de readonly/*. Essa condição é útil para compartilhar partes específicas de contêineres de armazenamento para acesso de leitura com outros usuários na assinatura.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou que possa ser habilitado futuramente.

Diagrama de uma condição que mostra o acesso de leitura aos blobs em contêineres nomeados com um caminho.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	E
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringLike
Valor	{pathString}

Proprietário de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Exemplo: ler ou listar blobs em contêineres nomeados com um caminho

Essa condição permite acesso de leitura e também lista o acesso a contêineres de armazenamento chamados blobs-example-container com um caminho de blob de readonly/*. A primeira condição aplica-se a ações de leitura, exceto listar blobs. A segunda condição aplica-se a listar blobs. Essa condição é útil para compartilhar partes específicas de contêineres de armazenamento para acesso de leitura ou de lista com outros usuários na assinatura.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou que possa ser habilitado futuramente.

Diagrama de uma condição que mostra o acesso de leitura e listagem aos blobs em contêineres nomeados com um caminho.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Observação

O portal do Azure usa prefix='' para listar blobs do diretório raiz do contêiner. Depois que a condição for adicionada com a operação de lista de blobs usando o prefixo StringStartsWith 'readonly/', os usuários de destino não poderão listar blobs do diretório raiz do contêiner no portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	E
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringStartsWith
Valor	{pathString}

Condição número 2	Configuração
Ações	Listar blobs Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	E
Origem do atributo	Solicitação
Atributo	Prefixo do blob
Operador	StringStartsWith
Valor	{pathString}

Proprietário de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: gravar blobs em contêineres nomeados com um caminho

Essa condição permite que um parceiro (um usuário convidado do Microsoft Entra) solte arquivos em contêineres de armazenamento chamados Contosocorp com um caminho de uploads/contoso/*. Essa condição é útil para permitir que outros usuários coloquem dados em contêineres de armazenamento.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou que possa ser habilitado futuramente.

Diagrama de uma condição que mostra o acesso de gravação aos blobs em contêineres nomeados com um caminho.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Gravar em um blob Criar um blob ou um instantâneo ou acrescentar dados Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	E
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringLike
Valor	{pathString}

Proprietário de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Colaborador de dados de blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Exemplo: ler blobs com uma marca de índice de blob e um caminho

Essa condição permite que um usuário leia blobs com uma chave de marca de índice de blob do Program, um valor de Alpine e um caminho de blob de logs*. O caminho de blob de logs* também inclui o nome do blob.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição que mostra o acesso de leitura aos blobs com uma marca de índice de blob e um caminho.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	StringEquals
Valor	{keyValue}

Condição número 2	Configuração
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringLike
Valor	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Neste exemplo, a condição restringe a ação de leitura, exceto quando a suboperação é Blob.List. Isso significa que uma operação Listar Blobs é permitida, mas todas as outras ações de leitura são avaliadas ainda mais em relação à expressão que verifica a marca e o caminho do índice de blob.

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadados do contêiner de blobs

Exemplo: ler blobs em contêineres com metadados específicos

Essa condição permite que os usuários leiam blobs em contêineres de blobs com um par chave/valor de metadados específico.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Metadados do contêiner
Operador	StringEquals
Valor	{containerName}

Leitor de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: gravar ou excluir blobs em contêineres com metadados específicos

Essa condição permite que os usuários gravem ou excluam blobs em contêineres de blob com um par chave/valor de metadados específico.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Gravar em um blob Excluir um blob
Origem do atributo	Recurso
Atributo	Metadados do contêiner
Operador	StringEquals
Valor	{containerName}

Colaborador de dados de blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Versões ou instantâneos de blob

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base na versão ou instantâneo do blob.

Exemplo: ler apenas versões atuais do blob

Essa condição permite que um usuário leia apenas as versões atuais do blob. O usuário não pode ler outras versões do blob.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de uma condição que mostra o acesso de leitura apenas à versão atual do blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	É a versão atual
Operador	BoolEquals
Valor	Verdadeiro

Proprietário de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: ler as versões atuais do blob e uma versão específica do blob

Essa condição permite que um usuário leia as versões atuais do blob, bem como os blobs com ID de versão de 2022-06-01T23:38:32.8883645Z. O usuário não pode ler outras versões do blob. O atributo Version ID só está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagrama de uma condição que mostra o acesso de leitura apenas a uma versão específica do blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob
Origem do atributo	Solicitação
Atributo	ID da Versão
Operador	DateTimeEquals
Valor	<blobVersionId>
Expressão 2
Operador	Ou
Origem do atributo	Recurso
Atributo	É a versão atual
Operador	BoolEquals
Valor	Verdadeiro

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: excluir versões antigas do blob

Essa condição permite que um usuário exclua versões de um blob anteriores a 06/01/2022 para executar a limpeza. O atributo Version ID só está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagrama de uma condição que mostra o acesso de exclusão às versões antigas do blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Excluir um blob Excluir uma versão de um blob
Origem do atributo	Solicitação
Atributo	ID da Versão
Operador	DateTimeLessThan
Valor	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: ler versões atuais do blob e quaisquer instantâneos de blob

Essa condição permite que um usuário leia as versões atuais do blob e quaisquer instantâneos de blob. O atributo Version ID só está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado. O atributo Snapshot está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado e atualmente em versão prévia para contas de armazenamento em que o namespace hierárquico está habilitado.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de uma condição que mostra o acesso de leitura às versões atuais do blob e os instantâneos de blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Solicitação
Atributo	Instantâneo
Exists	Verificado
Expressão 2
Operador	Ou
Origem do atributo	Recurso
Atributo	É a versão atual
Operador	BoolEquals
Valor	Verdadeiro

Proprietário de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: permitir que a operação de blob de lista inclua metadados, instantâneos ou versões de blob

Essa condição permite que um usuário liste blobs em um contêiner e inclua metadados, instantâneos e informações de versão. O atributo List blobs include está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado.

Observação

List blobs include é um atributo de solicitação e funciona permitindo ou restringindo valores no parâmetro include ao chamar a operação List Blobs. Os valores no parâmetro include são comparados com os valores especificados na condição usando operadores de comparação de produtos cruzados. Se a comparação for avaliada como verdadeira, a solicitação List Blobs será permitida. Se a comparação for avaliada como falsa, a solicitação List Blobs será negada.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Listar blobs
Origem do atributo	Solicitação
Atributo	List blobs include
Operador	ForAllOfAnyValues:StringEqualsIgnoreCase
Valor	{'metadata', 'snapshots', 'versions'}

Leitor de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

Neste exemplo, a condição restringe a ação de leitura quando a suboperação é Blob.List. Isso significa que uma operação List Blobs é avaliada posteriormente em relação à expressão que verifica os valores de include, mas todas as outras ações de leitura são permitidas.

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: restringir a operação de blob de lista para não incluir metadados de blob

Esta condição impede que um usuário liste blobs quando os metadados estão incluídos na solicitação. O atributo List blobs include está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado.

Observação

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Listar blobs
Origem do atributo	Solicitação
Atributo	List blobs include
Operador	ForAllOfAllValues:StringNotEquals
Valor	{'metadata'}

Leitor de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Namespace hierárquico

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base no fato de o namespace hierárquico estar habilitado para uma conta de armazenamento.

Exemplo: ler somente contas de armazenamento com namespace hierárquico habilitado

Essa condição permite que um usuário leia apenas blobs em contas de armazenamento com namespace hierárquico habilitado. Essa condição se aplica somente no escopo de grupo de recursos ou acima.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de uma condição que mostra o acesso de leitura às contas de armazenamento com o namespace hierárquico habilitado.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob Todas as operações de dados das contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Está habilitado para namespace hierárquico
Operador	BoolEquals
Valor	Verdadeiro

Proprietário de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Escopo de criptografia

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com um escopo de criptografia aprovado.

Exemplo: ler blobs com escopos específicos de criptografia

Essa condição permite que um usuário leia blobs criptografados com escopo de criptografia validScope1 ou validScope2.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de uma condição que mostra o acesso de leitura aos blobs com o escopo de criptografia validScope1 ou validScope2.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Nome do escopo de criptografia
Operador	ForAnyOfAnyValues:StringEquals
Valor	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: ler ou gravar blobs na conta de armazenamento nomeada com escopo específico de criptografia

Essa condição permite que um usuário leia ou grave blobs em uma conta de armazenamento nomeada sampleaccount e criptografada com escopo de criptografia ScopeCustomKey1. Se os blobs não forem criptografados ou descriptografados com ScopeCustomKey1, a solicitação retornará proibida.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Observação

Como os escopos de criptografia de contas de armazenamento diferentes podem ser diferentes, é recomendável usar o atributo storageAccounts:name com o atributo encryptionScopes:name para restringir o escopo de criptografia específico a ser permitido.

Diagrama de uma condição que mostra o acesso de leitura ou de gravação aos blobs na conta de armazenamento de exemplo com o escopo de criptografia ScopeCustomKey1.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler um blob Gravar em um blob Criar um blob ou um instantâneo ou acrescentar dados
Origem do atributo	Recurso
Atributo	Nome da Conta
Operador	StringEquals
Valor	<accountName>
Expressão 2
Operador	E
Origem do atributo	Recurso
Atributo	Nome do escopo de criptografia
Operador	ForAnyOfAnyValues:StringEquals
Valor	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Atributos principais

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base em uma entidade de segurança personalizada.

Exemplo: ler ou gravar blobs com base em marcas de índice de blob e atributos de segurança personalizados

Essa condição permite acesso de leitura e gravação aos blobs se o usuário tiver um atributo de segurança personalizado que corresponda à marca de índice de blob.

Por exemplo, se Brenda tiver o atributo Project=Baker, ela só poderá ler ou gravar blobs com a marca de índice de blob Project=Baker. Da mesma forma, Chandra só poderá ler e gravar blobs com Project=Cascade.

Você deve adicionar essa condição a todas as atribuições de função que incluam as ações a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Para mais informações, acesse Permitir acesso de leitura a blobs com base em marcas e atributos de segurança personalizados.

Diagrama de uma condição que mostra o acesso de leitura ou de gravação aos blobs com base nas marcas de índice de blob e nos atributos de segurança personalizados.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler as condições de um blob
Origem do atributo	Principal
Atributo	<attributeset>_<key>
Operador	StringEquals
Opção	Atributo
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	<chave>

Condição número 2	Configuração
Ações	Gravar em um blob com marcas de índice de blob Gravar em um blob com marcas de índice de blob
Origem do atributo	Principal
Atributo	<attributeset>_<key>
Operador	StringEquals
Opção	Atributo
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Valores na chave]
Chave	<chave>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Exemplo: ler blobs com base em marcas de índice de blob e atributos de segurança personalizados de vários valores

Essa condição permite acesso de leitura aos blobs se o usuário tiver um atributo de segurança personalizado com quaisquer valores que correspondam à marca de índice de blob.

Por exemplo, se a Project tem o atributo Project com os valores Padeiro e Cascata, ela só poderá ler blobs com a marca de índice Project=Baker ou Project=Cascade do blob.

Você deve adicionar essa condição a todas as atribuições de função que incluam a ação a seguir.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Para mais informações, acesse Permitir acesso de leitura a blobs com base em marcas e atributos de segurança personalizados.

Diagrama de uma condição que mostra o acesso de leitura aos blobs com base nas marcas de índice de blob e nos atributos de segurança personalizados de vários valores.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição número 1	Configuração
Ações	Ler as condições de um blob
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	<chave>
Operador	ForAnyOfAnyValues:StringEquals
Opção	Atributo
Origem do atributo	Principal
Atributo	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Atributos de ambiente

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base no ambiente de rede ou na data e hora atuais.

Exemplo: permitir acesso de leitura dos blobs após uma data e hora específicas

Esta condição permite o acesso de leitura ao contêiner container1 de blob somente após 13 horas do dia 1º de maio de 2023, Tempo Universal Coordenado (UTC).

Há duas ações possíveis para a leitura de blobs existentes. Para tornar essa condição efetiva para entidades de segurança que tenham várias atribuições de função, você deve adicionar essa condição a todas as atribuições de função que incluam qualquer uma das seguintes ações.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Adicionar ação

Selecione Adicionar ação e depois selecione somente a sub-operação Leitura de um blob conforme mostrado na seguinte tabela.

Ação	Suboperação
Todas as operações de leitura	Ler um blob

Não selecione a ação Todas as operações de leitura de nível superior ou qualquer outra sub-operação conforme mostrado na seguinte imagem:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Configuração Valor

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringEquals

Valor container1

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo UtcNow

Operador DateTimeGreaterThan

Valor 2023-05-01T13:00:00.000Z

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

Para adicionar a condição usando o editor de código, copie o exemplo de código de condição a seguir e cole-o no editor de código. Depois de inserir seu código, volte para o editor de visual para validá-lo.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição para a função Leitor de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: permitir acesso a blobs em contêineres específicos a partir de uma sub-rede específica

Esta condição permite acesso de leitura, gravação, adição e exclusão a blobs container1apenas a partir da sub-rede default na rede virtual virtualnetwork1. Para usar o atributo sub-rede neste exemplo, a sub-rede deve ter pontos de extremidade de serviço habilitados para o Armazenamento do Microsoft Azure.

Há cinco ações possíveis para acesso de leitura, gravação, adição e exclusão de blobs existentes. Para tornar essa condição efetiva para entidades de segurança que tenham várias atribuições de função, você deve adicionar essa condição a todas as atribuições de função que incluam qualquer uma das seguintes ações.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Adicionar ação

Selecione Adicionar ação e depois selecione apenas as ações de nível superior mostradas na seguinte tabela.

Ação	Suboperação
Todas as operações de leitura	n/a
Gravar em um blob	n/a
Criar um blob ou um instantâneo ou acrescentar dados	n/a
Excluir um blob	n/a

Não selecione nenhuma sub-operação individual conforme mostrado na seguinte imagem:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Configuração Valor

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringEquals

Valor container1

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo Sub-rede

Operador StringEqualsIgnoreCase

Valor /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição para a função Colaborador de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: exigir acesso de link privado para leitura de blobs com alta confidencialidade

Esta condição exige que as solicitações de leitura de blobs em que a confidencialidade da marca de índice de blob tenha um valor de high para estar em um link privado (qualquer link privado). Isso significa que todas as tentativas de leitura de blobs altamente confidenciais da Internet pública não serão permitidas. Os usuários podem ler blobs da Internet pública que tenham confidencialidade definida para algum valor diferente de high.

Segue uma tabela de verdade para esta condição de amostra do ABAC:

Ação	Confidencialidade	Link privado	Acesso
Ler um blob	high	Sim	Permitido
Ler um blob	high	Não	Não Permitido
Ler um blob	NÃO alta	Sim	Permitido
Ler um blob	NÃO alta	Não	Permitido

Ação Observações

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Aqui estão as configurações para adicionar essa condição usando o editor de condição de visual no portal do Azure.

Adicionar ação

Selecione Adicionar ação e depois selecione somente a sub-operação Leitura de um blob conforme mostrado na seguinte tabela.

Ação	Suboperação
Todas as operações de leitura	Ler um blob

Não selecione a ação Todas as operações de leitura de nível superior de qualquer outra sub-operação conforme mostrado na seguinte imagem:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Grupo Configuração Valor

Grupo #1

Origem do atributo Recurso

Atributo Marcas de índice de blob [Valores na chave]

Chave sensitivity

Operador StringEquals

Valor high

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo É um link privado

Operador BoolEquals

Valor True

Fim do Grupo #1

Operador lógico 'OR'

Origem do atributo Recurso

Atributo Marcas de índice de blob [Valores na chave]

Chave sensitivity

Operador StringNotEquals

Valor high

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição para a função Leitor de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: permitir acesso a um contêiner somente a partir de um ponto de extremidade privado específico

Esta condição requer que todas as operações de leitura, gravação, adição e exclusão para blobs em um contêiner de armazenamento nomeado container1 sejam feitas através de um ponto de extremidade privado nomeado privateendpoint1. Para todos os outros contêineres não nomeados container1, o acesso não precisa ser feito através do ponto de extremidade privado.

Há cinco potenciais ações de leitura, gravação e exclusão de blobs existentes. Para tornar essa condição efetiva para entidades de segurança que tenham várias atribuições de função, você deve adicionar essa condição a todas as atribuições de função que incluam qualquer uma das seguintes ações.

Ação	Observações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou que possa ser habilitado futuramente.

Aqui estão as configurações para adicionar essa condição usando o editor de condição de visual no portal do Azure.

Adicionar ação

Selecione Adicionar ação e depois selecione apenas as ações de nível superior mostradas na seguinte tabela.

Ação	Suboperação
Todas as operações de leitura	n/a
Gravar em um blob	n/a
Criar um blob ou um instantâneo ou acrescentar dados	n/a
Excluir um blob	n/a

Não selecione nenhuma sub-operação individual conforme mostrado na seguinte imagem:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Grupo Configuração Valor

Grupo #1

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringEquals

Valor container1

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo Ponto de extremidade privado

Operador StringEqualsIgnoreCase

Valor /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Fim do Grupo #1

Operador lógico 'OR'

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringNotEquals

Valor container1

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

Para adicionar a condição usando o editor de código, escolha um dos exemplos de código de condição a seguir, dependendo da função associada à atribuição. Depois de inserir seu código, volte para o editor de visual para validá-lo.

Proprietário de Dados de Blob de Armazenamento:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Colaborador de Dados de Blob de Armazenamento:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição para a função Colaborador de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: permitir acesso de leitura a dados de blob altamente confidenciais apenas a partir de um ponto de extremidade privado específico e por usuários marcados para acesso

Esta condição exige que blobs com confidencialidade de marca de índice definida como high possam ser lidos somente por usuários que tenham um valor correspondente para o atributo de segurança de confidencialidade. Além disso, eles devem ser acessados por meio de um ponto de extremidade privado nomeado privateendpoint1. Os blobs que têm um valor diferente para a marca de confidencialidade podem ser acessados por outros pontos de extremidade ou pela Internet.

Ação Observações

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Aqui estão as configurações para adicionar essa condição usando o editor de condição de visual no portal do Azure.

Adicionar ação

Selecione Adicionar ação e depois selecione somente a sub-operação Leitura de um blob conforme mostrado na seguinte tabela.

Ação	Suboperação
Todas as operações de leitura	Ler um blob

Não selecione a ação de nível superior, conforme mostrado na seguinte imagem:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Grupo	Configuração	Valor
Grupo #1
	Origem do atributo	Principal
	Atributo	<attributeset>_<key>
	Operador	StringEquals
	Opção	Atributo
	Operador lógico	'AND'
	Origem do atributo	Recurso
	Atributo	Marcas de índice de blob [Valores na chave]
	Chave	<chave>
	Operador lógico	'AND'
	Origem do atributo	Ambiente
	Atributo	Ponto de extremidade privado
	Operador	StringEqualsIgnoreCase
	Valor	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Fim do Grupo #1
	Operador lógico	'OR'
	Origem do atributo	Recurso
	Atributo	Marcas de índice de blob [Valores na chave]
	Chave	`sensitivity`
	Operador	StringNotEquals
	Valor	`high`

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte Formato de condições.

Veja como adicionar essa condição para a função Leitor de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo de condições de atribuição de função do Azure para o Armazenamento de Blobs

Pré-requisitos

Resumo de exemplos deste artigo

Marcas de índice de blob

Exemplo: ler blobs com uma marca de índice de blob

Exemplo: novos blobs devem incluir uma marca de índice de blob

Exemplo: os blobs existentes devem ter chaves de marca de índice de blob

Exemplo: os blobs existentes devem ter chaves e valores de marca de índice de blob

Nomes ou caminhos de contêiner de blob

Exemplo: ler, gravar ou excluir blobs nos contêineres nomeados

Exemplo: ler blobs em contêineres nomeados com um caminho

Exemplo: ler ou listar blobs em contêineres nomeados com um caminho

Exemplo: gravar blobs em contêineres nomeados com um caminho

Exemplo: ler blobs com uma marca de índice de blob e um caminho

Metadados do contêiner de blobs

Exemplo: ler blobs em contêineres com metadados específicos

Exemplo: gravar ou excluir blobs em contêineres com metadados específicos

Versões ou instantâneos de blob

Exemplo: ler apenas versões atuais do blob

Exemplo: ler as versões atuais do blob e uma versão específica do blob

Exemplo: excluir versões antigas do blob

Exemplo: ler versões atuais do blob e quaisquer instantâneos de blob

Exemplo: permitir que a operação de blob de lista inclua metadados, instantâneos ou versões de blob

Exemplo: restringir a operação de blob de lista para não incluir metadados de blob

Namespace hierárquico

Exemplo: ler somente contas de armazenamento com namespace hierárquico habilitado

Escopo de criptografia

Exemplo: ler blobs com escopos específicos de criptografia

Exemplo: ler ou gravar blobs na conta de armazenamento nomeada com escopo específico de criptografia

Atributos principais

Exemplo: ler ou gravar blobs com base em marcas de índice de blob e atributos de segurança personalizados

Exemplo: ler blobs com base em marcas de índice de blob e atributos de segurança personalizados de vários valores

Atributos de ambiente

Exemplo: permitir acesso de leitura dos blobs após uma data e hora específicas

Adicionar ação

Compilar expressão

Exemplo: permitir acesso a blobs em contêineres específicos a partir de uma sub-rede específica

Adicionar ação

Compilar expressão

Exemplo: exigir acesso de link privado para leitura de blobs com alta confidencialidade

Adicionar ação

Compilar expressão

Exemplo: permitir acesso a um contêiner somente a partir de um ponto de extremidade privado específico

Adicionar ação

Compilar expressão

Exemplo: permitir acesso de leitura a dados de blob altamente confidenciais apenas a partir de um ponto de extremidade privado específico e por usuários marcados para acesso

Adicionar ação

Compilar expressão

Próximas etapas

Recursos adicionais