Действия и атрибуты для условий назначения ролей Azure для хранилища очередей Azure
В этой статье описываются поддерживаемые словари атрибутов, которые можно использовать в условиях назначения ролей Azure для каждого действия DataAction в службе хранилища Azure. Список операций службы очередей, влияющих на определенные разрешения или DataAction, см. в разделе "Разрешения для операций службы очередей".
Сведения о формате условий назначения ролей см. в статье Формат и синтаксис условий назначения ролей Azure.
Внимание
Управление доступом на основе атрибутов Azure (Azure ABAC) общедоступен для управления доступом к Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения и очередям Azure с помощью request, resourceenvironmentа principal также атрибутов в уровнях производительности учетной записи хранения уровня "Стандартный" и "Премиум". В настоящее время атрибут ресурса метаданных контейнера и большой двоичный объект списка включают атрибут запроса в предварительной версии. Полные сведения о состоянии функции ABAC для служба хранилища Azure см. в разделе "Состояние функций условий" в служба хранилища Azure.
Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Действия хранилища очередей Azure
В этом разделе перечислены поддерживаемые действия хранилища очередей Azure, которые можно использовать для условий.
Учетные записи хранения поддерживают следующие действия:
| Показать имя | DataAction |
|---|---|
| Просмотр сообщений | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Поместите сообщение | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| Поместите или обновите сообщение | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Очистка сообщений | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Получение или удаление сообщений | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
Быстрое редактирование сообщений
| Свойство | Значение |
|---|---|
| Отображаемое имя | Быстрое редактирование сообщений |
| Description | DataAction для быстрого редактирования сообщений. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Атрибуты ресурсов | Имя учетной записи Имя очереди |
| Атрибуты запроса | |
| Поддержка атрибутов субъекта | Истина |
Размещение сообщения
| Свойство | Значение |
|---|---|
| Отображаемое имя | Размещение сообщения |
| Description | DataAction для размещения сообщения. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| Атрибуты ресурсов | Имя учетной записи Имя очереди |
| Атрибуты запроса | |
| Поддержка атрибутов субъекта | Истина |
Размещение или обновление сообщения
| Свойство | Значение |
|---|---|
| Отображаемое имя | Размещение или обновление сообщения |
| Description | DataAction для размещения или обновления сообщения. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Атрибуты ресурсов | Имя учетной записи Имя очереди |
| Атрибуты запроса | |
| Поддержка атрибутов субъекта | Истина |
Очистка сообщений
| Свойство | Значение |
|---|---|
| Отображаемое имя | Очистка сообщений |
| Description | DataAction для очистки сообщений. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Атрибуты ресурсов | Имя учетной записи Имя очереди |
| Атрибуты запроса | |
| Поддержка атрибутов субъекта | Истина |
Получение или удаление сообщений
| Свойство | Значение |
|---|---|
| Отображаемое имя | Получение или удаление сообщений |
| Description | DataAction для получения или удаления сообщений. |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
| Атрибуты ресурсов | Имя учетной записи Имя очереди |
| Атрибуты запроса | |
| Поддержка атрибутов субъекта | Истина |
Атрибуты хранилища очередей Azure
В этом разделе перечислены атрибуты хранилища BLOB-объектов Azure, которые можно использовать в выражениях условий в зависимости от целевого действия. При выборе нескольких действий для одного условия может быть меньше атрибутов, так как атрибуты должны быть доступны во всех выбранных действиях.
Примечание.
В перечисленных здесь атрибутах и значениях учитывается регистр, если не указано иное.
В следующей таблице перечислены доступные атрибуты по источнику:
| Источник атрибутов | отображаемое имя; | Description |
|---|---|---|
| Среда | ||
| Приватный канал | Наличие доступа через приватную ссылку | |
| Частная конечная точка | Частная конечная точка, через которую осуществляется доступ к объекту | |
| Подсеть | Подсеть, через которую осуществляется доступ к объекту | |
| СЕЙЧАС в формате UTC | Текущая дата и время в согласованном универсальном времени | |
| Ресурс | ||
| Имя учетной записи | Имя учетной записи хранения. | |
| Имя очереди | Имя очереди хранилища |
Имя учетной записи
| Свойство | Значение |
|---|---|
| Отображаемое имя | Наименование счета |
| Description | Имя учетной записи хранения. |
| Attribute | Microsoft.Storage/storageAccounts:name |
| Источник атрибутов | Ресурс |
| Тип атрибута | Строка |
| Примеры | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount' |
Приватный канал
| Свойство | Значение |
|---|---|
| Отображаемое имя | Приватный канал |
| Description | Имеется ли доступ через приватную ссылку. Используется для получения доступа через любую частную конечную точку. |
| Attribute | isPrivateLink |
| Источник атрибутов | Среда |
| Тип атрибута | Boolean |
| Примеры | @Environment[isPrivateLink] BoolEquals trueПример. Требовать доступ к большим двоичным объектам с высокой степенью конфиденциальности приватного канала |
| Подробнее | Использование частных конечных точек для службы хранилища Azure |
Частная конечная точка
| Свойство | Значение |
|---|---|
| Отображаемое имя | Частная конечная точка |
| Description | Частная конечная точка, через которую осуществляется доступ к объекту. Используется для ограничения доступа через определенную частную конечную точку. Доступно только для учетных записей хранения в подписках, на которых настроена по крайней мере одна частная конечная точка. |
| Attribute | Microsoft.Network/privateEndpoints |
| Источник атрибутов | Среда |
| Тип атрибута | String |
| Примеры | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'Пример. Разрешить доступ на чтение к контейнеру только из конкретной частной конечной точки |
| Подробнее | Использование частных конечных точек для службы хранилища Azure |
Имя очереди
| Свойство | Значение |
|---|---|
| Отображаемое имя | Имя очереди |
| Description | Имя очереди хранилища. |
| Attribute | Microsoft.Storage/storageAccounts/queueServices/queues:name |
| Источник атрибутов | Ресурс |
| Тип атрибута | Строка |
Подсеть
| Свойство | Значение |
|---|---|
| Отображаемое имя | Подсеть |
| Description | Подсеть, через которую осуществляется доступ к объекту. Используется для ограничения доступа к определенной подсети. Доступно только для учетных записей хранения в подписках, на которых настроена по крайней мере одна подсеть виртуальной сети. |
| Attribute | Microsoft.Network/virtualNetworks/subnets |
| Источник атрибутов | Среда |
| Тип атрибута | String |
| Примеры | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'Пример. Разрешение доступа к BLOB-объектам в определенных контейнерах из определенной подсети |
| Подробнее | Подсети |
СЕЙЧАС в формате UTC
| Свойство | Значение |
|---|---|
| Отображаемое имя | СЕЙЧАС в формате UTC |
| Description | Текущая дата и время в координированном универсальном времени. Используйте для управления доступом к объектам за определенный период даты и времени. |
| Attribute | UtcNow |
| Источник атрибутов | Среда |
| Тип атрибута | DateTime (для атрибута UTC теперь поддерживаются только операторы DateTimeGreaterThan и DateTimeLessThan .) |
| Примеры | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'Пример. Разрешить доступ на чтение к BLOB-объектам после определенной даты и времени |