Ações e atributos para condições de atribuição de função do Armazenamento de Filas do Azure
Este artigo descreve os dicionários de atributos com suporte que podem ser usados em condições nas atribuições de função do Azure para cada DataActiondo Armazenamento do Azure. Para obter a lista de operações de serviço de fila que são afetadas por uma permissão específica ou DataAction, consulte Permissões para operações do serviço Fila.
Para entender o formato da condição de atribuição de função, consulte Sintaxe e formato de condição de atribuição de função do Azure.
Importante
O ABAC (controle de acesso baseado em atributos) do Azure tem GA (disponibilidade geral) para controlar o acesso ao Armazenamento de Blobs do Azure, ao Azure Data Lake Storage Gen2 e às Filas do Azure usando os atributos request, resource, environment e principal nas camadas de desempenho das contas de armazenamento Standard e Premium. No momento, o atributo de recurso de metadados de contêiner e o atributo de solicitação de inclusão de blob de lista estão em VERSÃO PRÉVIA. Para obter informações completas sobre o status do recurso do ABAC para o Armazenamento do Azure, consulte Status dos recursos de condição no Armazenamento do Azure.
Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Ações do Armazenamento de Filas do Azure
Esta seção lista as ações compatíveis do Armazenamento de Filas do Azure que você pode direcionar para condições.
As contas de armazenamento dão suporte às seguintes ações:
| Nome de exibição | DataAction |
|---|---|
| Espiar mensagens | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Colocar uma mensagem | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| Colocar ou atualizar uma mensagem | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Limpar mensagens | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Obter ou excluir mensagens | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
Espiar mensagens
| Propriedade | Valor |
|---|---|
| Nome de exibição | Espiar mensagens |
| Descrição | DataAction para espiar mensagens. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Atributos do recurso | Nome da Conta Nome da fila |
| Atributos de solicitação | |
| Suporte para atributos da entidade de segurança | Verdadeiro |
Colocar uma mensagem
| Propriedade | Valor |
|---|---|
| Nome de exibição | Colocar uma mensagem |
| Descrição | DataAction para colocar uma mensagem. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| Atributos do recurso | Nome da Conta Nome da fila |
| Atributos de solicitação | |
| Suporte para atributos da entidade de segurança | Verdadeiro |
Colocar ou atualizar uma mensagem
| Propriedade | Valor |
|---|---|
| Nome de exibição | Colocar ou atualizar uma mensagem |
| Descrição | DataAction para colocar ou atualizar uma mensagem. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Atributos do recurso | Nome da Conta Nome da fila |
| Atributos de solicitação | |
| Suporte para atributos da entidade de segurança | Verdadeiro |
Limpar mensagens
| Propriedade | Valor |
|---|---|
| Nome de exibição | Limpar mensagens |
| Descrição | DataAction para limpar mensagens. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Atributos do recurso | Nome da Conta Nome da fila |
| Atributos de solicitação | |
| Suporte para atributos da entidade de segurança | Verdadeiro |
Obter ou excluir mensagens
| Propriedade | Valor |
|---|---|
| Nome de exibição | Obter ou excluir mensagens |
| Descrição | DataAction para obter ou excluir mensagens. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
| Atributos do recurso | Nome da Conta Nome da fila |
| Atributos de solicitação | |
| Suporte para atributos da entidade de segurança | Verdadeiro |
Atributos do Armazenamento de Filas do Azure
Esta seção lista os atributos de Armazenamento de Filas do Azure que você pode usar em expressões de condição, dependendo da ação de destino. Se você selecionar várias ações para uma única condição, pode haver menos opções de atributos para a sua condição, pois os atributos devem estar disponíveis em todas as ações selecionadas.
Observação
A menos que declarado de outra forma, os atributos e valores listados são considerados como não apresentando diferenciação entre maiúsculas e minúsculas.
A tabela a seguir resume os atributos disponíveis por origem:
| Origem do atributo | Nome de exibição | Descrição |
|---|---|---|
| Ambiente | ||
| É um link privado | Se o acesso é por meio de um link privado | |
| Ponto de extremidade privado | O ponto de extremidade privado sobre o qual um objeto é acessado | |
| Sub-rede | A sub-rede na qual um objeto é acessado | |
| UTC agora | A data e a hora atuais no Tempo Universal Coordenado | |
| Recurso | ||
| Nome da Conta | O nome da conta de armazenamento | |
| Nome da fila | O nome da fila de armazenamento |
Nome da conta
| Propriedade | Valor |
|---|---|
| Nome de exibição | Nome da conta |
| Descrição | Nome de uma conta de armazenamento. |
| Atributo | Microsoft.Storage/storageAccounts:name |
| Origem do atributo | Recurso |
| Tipo de atributo | String |
| Exemplos | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount' |
É um link privado
| Propriedade | Valor |
|---|---|
| Nome de exibição | É um link privado |
| Descrição | Se o acesso é por meio de um link privado. Use para exigir acesso em qualquer ponto de extremidade privado. |
| Atributo | isPrivateLink |
| Origem do atributo | Ambiente |
| Tipo de atributo | Booliano |
| Exemplos | @Environment[isPrivateLink] BoolEquals trueExample: exigir acesso de link privado para ler blobs com alta confidencialidade |
| Saiba mais | Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure |
Ponto de extremidade privado
| Propriedade | Valor |
|---|---|
| Nome de exibição | Ponto de extremidade privado |
| Descrição | O ponto de extremidade privado no qual um objeto é acessado. Use para restringir o acesso em um ponto de extremidade privado específico. Disponível apenas para contas de armazenamento em assinaturas que têm pelo menos um ponto de extremidade privado configurado. |
| Atributo | Microsoft.Network/privateEndpoints |
| Origem do atributo | Ambiente |
| Tipo de atributo | Cadeia de caracteres |
| Exemplos | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'Exemplo: permitir acesso de leitura a um contêiner somente de um ponto de extremidade privado específico |
| Saiba mais | Usar pontos de extremidade privados para o Armazenamento do Microsoft Azure |
Nome da fila
| Propriedade | Valor |
|---|---|
| Nome de exibição | Nome da fila |
| Descrição | Nome de uma fila de armazenamento. |
| Atributo | Microsoft.Storage/storageAccounts/queueServices/queues:name |
| Origem do atributo | Recurso |
| Tipo de atributo | String |
Sub-rede
| Propriedade | Valor |
|---|---|
| Nome de exibição | Sub-rede |
| Descrição | A sub-rede na qual um objeto é acessado. Use para restringir o acesso a uma sub-rede específica. Disponível apenas para contas de armazenamento em assinaturas que têm pelo menos uma sub-rede de rede virtual configurada. |
| Atributo | Microsoft.Network/virtualNetworks/subnets |
| Origem do atributo | Ambiente |
| Tipo de atributo | Cadeia de caracteres |
| Exemplos | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'Exemplo: permitir acesso a blobs em contêineres específicos de uma sub-rede específica |
| Saiba mais | Sub-redes |
UTC agora
| Propriedade | Valor |
|---|---|
| Nome de exibição | UTC agora |
| Descrição | A data e a hora atuais no Tempo Universal Coordenado. Use para controlar o acesso a objetos para um período específico de data e hora. |
| Atributo | UtcNow |
| Origem do atributo | Ambiente |
| Tipo de atributo | DateTime (Somente operadoresDateTimeGreaterThan e DateTimeLessThan têm suporte para o atributo UTC agora.) |
| Exemplos | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'Exemplo: permitir acesso de leitura dos blobs após uma data e hora específicas |