Exempel på villkor för Azure-rolltilldelning för Blob Storage

Artikel
04/07/2024

Den här artikeln innehåller några exempel på rolltilldelningsvillkor för att styra åtkomsten till Azure Blob Storage.

Viktigt!

Azure-attributbaserad åtkomstkontroll (Azure ABAC) är allmänt tillgänglig (GA) för att styra åtkomsten till Azure Blob Storage, Azure Data Lake Storage Gen2 och Azure Queues med hjälp av request, resourceoch environmentprincipal attribut på prestandanivåerna för både standard- och Premium Storage-konton. För närvarande finns resursattributet för containermetadata och listbloben med begärandeattributet i FÖRHANDSVERSION. Fullständig information om funktionsstatus för ABAC för Azure Storage finns i Status för villkorsfunktioner i Azure Storage.

Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Förutsättningar

Information om kraven för att lägga till eller redigera rolltilldelningsvillkor finns i Villkorskrav.

Sammanfattning av exempel i den här artikeln

Använd följande tabell för att snabbt hitta ett exempel som passar ditt ABAC-scenario. Tabellen innehåller en kort beskrivning av scenariot, plus en lista över attribut som används i exemplet efter källa (miljö, huvudnamn, begäran och resurs).

Exempel	Environment	Huvudkonto	Förfrågan	Resurs
Läsa blobar med en blobindextagg				taggar
Nya blobar måste innehålla en blobindextagg			taggar
Befintliga blobar måste ha taggnycklar för blobindex			taggar
Befintliga blobar måste ha en blobindextaggnyckel och värden			taggar
Läsa, skriva eller ta bort blobar i namngivna containrar				containernamn
Läsa blobar i namngivna containrar med en sökväg				blobsökväg för containernamn
Läsa eller lista blobar i namngivna containrar med en sökväg			blobprefix	blobsökväg för containernamn
Skriva blobar i namngivna containrar med en sökväg				blobsökväg för containernamn
Läsa blobar med en blobindextagg och en sökväg				taggar blobsökväg
Läsa blobar i container med specifika metadata				containermetadata
Skriva eller ta bort blobar i containern med specifika metadata				containermetadata
Skrivskyddade aktuella blobversioner				isCurrentVersion
Läsa aktuella blobversioner och en specifik blobversion			versionId	isCurrentVersion
Ta bort gamla blobversioner			versionId
Läsa aktuella blobversioner och eventuella blobögonblicksbilder			ögonblicksbild	isCurrentVersion
Tillåt listblobåtgärd för att inkludera blobmetadata, ögonblicksbilder eller versioner			ta med listblob
Begränsa listblobåtgärden till att inte inkludera blobmetadata			ta med listblob
Skrivskyddade lagringskonton med hierarkiskt namnområde aktiverat				isHnsEnabled
Läsa blobar med specifika krypteringsomfång				Namn på krypteringsomfång
Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång				Namn på krypteringsomfång för lagringskonto
Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut		ID	taggar	taggar
Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden		ID		taggar
Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid	UtcNow			containernamn
Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät	Undernät			containernamn
Kräv åtkomst till privat länk för att läsa blobar med hög känslighet	isPrivateLink			taggar
Tillåt endast åtkomst till en container från en specifik privat slutpunkt	Privat slutpunkt			containernamn
Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst	Privat slutpunkt	ID		taggar

Blobindextaggar

Det här avsnittet innehåller exempel på blobindextaggar.

Viktigt!

Även om underåtgärden Read content from a blob with tag conditions för närvarande stöds för kompatibilitet med villkor som implementerades under förhandsversionen av ABAC-funktionen har den blivit inaktuell och Microsoft rekommenderar att du använder åtgärden Read a blob i stället.

När du konfigurerar ABAC-villkor i Azure-portalen kan du se INAKTUELL: Läsa innehåll från en blob med taggvillkor. Microsoft rekommenderar att du tar bort åtgärden och ersätter den med åtgärden Read a blob .

Om du skapar ett eget villkor där du vill begränsa läsåtkomsten efter taggvillkor kan du läsa exempel: Läsa blobar med en blobindextagg.

Exempel: Läsa blobar med en blobindextagg

Det här villkoret gör det möjligt för användare att läsa blobar med en blobindextaggnyckel för Project och värdet Cascade. Försök att komma åt blobar utan den här nyckel/värde-taggen tillåts inte.

För att det här villkoret ska gälla för ett säkerhetsobjekt måste du lägga till det i alla rolltilldelningar för dem som innehåller följande åtgärder:

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med en blobindextagg.

Villkoret kan läggas till i en rolltilldelning med azure-portalen eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure-portalen för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av det visuella Redigeringsprogrammet för Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operator	StringEquals
Värde	{keyValue}

Om du vill lägga till villkoret med kodredigeraren kopierar du villkorskodexemplet och klistrar in det i kodredigeraren. När du har angett koden växlar du tillbaka till den visuella redigeraren för att verifiera den.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

I det här exemplet begränsar villkoret läsåtgärden förutom när underoperationen är Blob.List. Det innebär att en listblobåtgärd tillåts, men alla andra läsåtgärder utvärderas ytterligare mot uttrycket som söker efter blobindextaggen.

Om en användare försöker utföra en åtgärd i den tilldelade rollen som inte är en åtgärd som begränsas av villkoret utvärderas !(ActionMatches) till true och det övergripande villkoret utvärderas till sant. Det här resultatet gör att åtgärden kan utföras.

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Exempel: Nya blobar måste innehålla en blobindextagg

Det här villkoret kräver att alla nya blobar måste innehålla en blobindextaggnyckel för Project och värdet Kaskad.

Det finns två åtgärder som gör att du kan skapa nya blobar, så du måste rikta in dig på båda. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder:

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Villkorsdiagram som visar nya blobar måste innehålla en blobindextagg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva till en blob med blobindextaggar
Attributkälla	Förfrågan
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operator	StringEquals
Värde	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Exempel: Befintliga blobar måste ha blobindextaggnycklar

Det här villkoret kräver att alla befintliga blobar taggas med minst en av de tillåtna blobindextaggnycklarna : Project eller Program. Det här villkoret är användbart för att lägga till styrning i befintliga blobar.

Det finns två åtgärder som gör att du kan uppdatera taggar på befintliga blobar, så du måste rikta in dig på båda. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder:

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar befintliga blobar måste ha blobindextaggnycklar.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva blobindextaggar
Attributkälla	Förfrågan
Attribut	Blobindextaggar [Nycklar]
Operator	ForAllOfAnyValues:StringEquals
Värde	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Exempel: Befintliga blobar måste ha en blobindextaggnyckel och värden

Det här villkoret kräver att alla befintliga blobar har en blobindextaggnyckel för Project och värden för Cascade, Baker eller Skagit. Det här villkoret är användbart för att lägga till styrning i befintliga blobar.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar befintliga blobar måste ha en blobindextaggnyckel och värden.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva blobindextaggar
Attributkälla	Förfrågan
Attribut	Blobindextaggar [Nycklar]
Operator	ForAnyOfAnyValues:StringEquals
Värde	{keyName}
Operator	och
Expression 2
Attributkälla	Förfrågan
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operator	ForAllOfAnyValues:StringEquals
Värde	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Namn eller sökvägar för blobcontainer

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på containernamn eller blobsökväg.

Exempel: Läsa, skriva eller ta bort blobar i namngivna containrar

Med det här villkoret kan användare läsa, skriva eller ta bort blobar i lagringscontainrar med namnet blobs-example-container. Det här villkoret är användbart för att dela specifika lagringscontainrar med andra användare i en prenumeration.

Det finns fem åtgärder för att läsa, skriva och ta bort befintliga blobar. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Underåtgärder används inte i det här villkoret eftersom underåtgärden endast behövs när villkor skapas baserat på taggar.

Diagram över villkor som visar läsning, skrivning eller borttagning av blobar i namngivna containrar.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Ta bort en blob Läsa en blob Skriva till en blob Skapa en blob eller ögonblicksbild eller lägga till data Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operator	StringEquals
Värde	{containerName}

Storage Blob Data-ägare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Storage Blob datadeltagare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Exempel: Läsa blobar i namngivna containrar med en sökväg

Det här villkoret tillåter läsåtkomst till lagringscontainrar med namnet blobs-example-container med en blobsökväg med readonly/*. Det här villkoret är användbart för att dela specifika delar av lagringscontainrar för läsåtkomst med andra användare i prenumerationen.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar läsåtkomst till blobar i namngivna containrar med en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operator	StringEquals
Värde	{containerName}
Expression 2
Operator	och
Attributkälla	Resurs
Attribut	Blobsökväg
Operator	StringLike
Värde	{pathString}

Storage Blob Data-ägare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Exempel: Läsa eller lista blobar i namngivna containrar med en sökväg

Det här villkoret tillåter läsåtkomst och liståtkomst till lagringscontainrar med namnet blobs-example-container med en blobsökväg med readonly/*. Villkor nr 1 gäller för läsåtgärder exklusive listblobar. Villkor nr 2 gäller för listblobar. Det här villkoret är användbart för att dela specifika delar av lagringscontainrar för läs- eller liståtkomst med andra användare i prenumerationen.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar läs- och liståtkomst till blobar i namngivna containrar med en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Kommentar

Azure-portalen använder prefix='' för att lista blobar från containerns rotkatalog. När villkoret har lagts till med listblobbåtgärden med prefixet StringStartsWith "readonly/" kommer målanvändare inte att kunna lista blobar från containerns rotkatalog i Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operator	StringEquals
Värde	{containerName}
Expression 2
Operator	och
Attributkälla	Resurs
Attribut	Blobsökväg
Operator	StringStartsWith
Värde	{pathString}

Villkor nr 2	Inställning
Åtgärder	Lista blobar Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operator	StringEquals
Värde	{containerName}
Expression 2
Operator	och
Attributkälla	Förfrågan
Attribut	Blobprefix
Operator	StringStartsWith
Värde	{pathString}

Storage Blob Data-ägare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Skriva blobar i namngivna containrar med en sökväg

Med det här villkoret kan en partner (en Microsoft Entra-gästanvändare) släppa filer i lagringscontainrar med namnet Contosocorp med en sökväg för uppladdningar/contoso/*. Det här villkoret är användbart för att tillåta andra användare att placera data i lagringscontainrar.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar skrivåtkomst till blobar i namngivna containrar med en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob Skapa en blob eller ögonblicksbild eller lägga till data Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operator	StringEquals
Värde	{containerName}
Expression 2
Operator	och
Attributkälla	Resurs
Attribut	Blobsökväg
Operator	StringLike
Värde	{pathString}

Storage Blob Data-ägare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Storage Blob datadeltagare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Exempel: Läsa blobar med en blobindextagg och en sökväg

Med det här villkoret kan en användare läsa blobar med en blobindextaggnyckel för Program, värdet Alpine och en blobsökväg med loggar*. Blobsökvägen för loggar* innehåller även blobnamnet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med en blobindextagg och en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operator	StringEquals
Värde	{keyValue}

Villkor nr 2	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Blobsökväg
Operator	StringLike
Värde	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du det här villkoret.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadata för blobcontainer

Exempel: Läsa blobar i container med specifika metadata

Med det här villkoret kan användare läsa blobar i blobcontainrar med ett specifikt nyckel-/värdepar för metadata.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Containermetadata
Operator	StringEquals
Värde	{containerName}

Storage Blob Data-läsare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Skriva eller ta bort blobar i container med specifika metadata

Med det här villkoret kan användare skriva eller ta bort blobar i blobcontainrar med ett specifikt nyckel-/värdepar för metadata.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob Ta bort en blob
Attributkälla	Resurs
Attribut	Containermetadata
Operator	StringEquals
Värde	{containerName}

Storage Blob datadeltagare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Blobversioner eller blobögonblicksbilder

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på blobversionen eller ögonblicksbilden.

Exempel: Skrivskyddade aktuella blobversioner

Med det här villkoret kan en användare bara läsa aktuella blobversioner. Användaren kan inte läsa andra blobversioner.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar skrivskyddad åtkomst till den aktuella blobversionen.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Är aktuell version
Operator	BoolEquals
Värde	Sant

Storage Blob Data-ägare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läsa aktuella blobversioner och en specifik blobversion

Med det här villkoret kan en användare läsa aktuella blobversioner och läsa blobar med versions-ID:t 2022-06-01T23:38:32.8883645Z. Användaren kan inte läsa andra blobversioner. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagram över villkor som visar läsåtkomst till en specifik blobversion.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Förfrågan
Attribut	Versions-ID
Operator	DateTimeEquals
Värde	<blobVersionId>
Expression 2
Operator	Eller
Attributkälla	Resurs
Attribut	Är aktuell version
Operator	BoolEquals
Värde	Sant

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Ta bort gamla blobversioner

Med det här villkoret kan en användare ta bort versioner av en blob som är äldre än 2022-06-01 för att utföra rensning. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagram över villkor som visar borttagning av åtkomst till gamla blobversioner.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Ta bort en blob Ta bort en version av en blob
Attributkälla	Förfrågan
Attribut	Versions-ID
Operator	DateTimeLessThan
Värde	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läsa aktuella blobversioner och eventuella blobögonblicksbilder

Med det här villkoret kan en användare läsa aktuella blobversioner och eventuella ögonblicksbilder av blobar. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat. Attributet Ögonblicksbild är tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat och för närvarande är i förhandsversion för lagringskonton där hierarkiskt namnområde är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till aktuella blobversioner och eventuella ögonblicksbilder av blobar.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Förfrågan
Attribut	Ögonblicksbild
Exists	Kontrolleras
Expression 2
Operator	Eller
Attributkälla	Resurs
Attribut	Är aktuell version
Operator	BoolEquals
Värde	Sant

Storage Blob Data-ägare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Tillåt att listblobåtgärden inkluderar blobmetadata, ögonblicksbilder eller versioner

Med det här villkoret kan en användare lista blobar i en container och inkludera metadata, ögonblicksbilder och versionsinformation. Inkluderingsattributet Listblobar är tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Kommentar

Listblobar är ett begärandeattribut och fungerar genom att tillåta eller begränsa värden i parametern include när listblobar anropas. Värdena i parametern include jämförs med de värden som anges i villkoret med hjälp av jämförelseoperatorer mellan produkter. Om jämförelsen utvärderas till true tillåts List Blobs begäran. Om jämförelsen utvärderas till false List Blobs nekas begäran.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Lista blobar
Attributkälla	Förfrågan
Attribut	Ta med listblobar
Operator	ForAllOfAnyValues:StringEqualsIgnoreCase
Värde	{'metadata', 'snapshots', 'versions'}

Storage Blob Data-läsare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

I det här exemplet begränsar villkoret läsåtgärden när underoperationen är Blob.List. Det innebär att en listblobåtgärd utvärderas ytterligare mot uttrycket som kontrollerar include värdena, men alla andra läsåtgärder tillåts.

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Begränsa listblobåtgärden till att inte inkludera blobmetadata

Det här villkoret hindrar en användare från att lista blobar när metadata ingår i begäran. Inkluderingsattributet Listblobar är tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Kommentar

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Lista blobar
Attributkälla	Förfrågan
Attribut	Ta med listblobar
Operator	ForAllOfAllValues:StringNotEquals
Värde	{'metadata'}

Storage Blob Data-läsare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Hierarkisk namnrymd

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på om hierarkiskt namnområde är aktiverat för ett lagringskonto.

Exempel: Skrivskyddade lagringskonton med hierarkiskt namnområde aktiverat

Med det här villkoret kan en användare endast läsa blobar i lagringskonton med hierarkiskt namnområde aktiverat. Det här villkoret gäller endast i resursgruppsomfång eller högre.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till lagringskonton med hierarkiskt namnområde aktiverat.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Är hierarkiskt namnområde aktiverat
Operator	BoolEquals
Värde	Sant

Storage Blob Data-ägare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Krypteringsomfång

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt med ett godkänt krypteringsomfång.

Exempel: Läsa blobar med specifika krypteringsomfång

Med det här villkoret kan en användare läsa blobar som krypterats med krypteringsomfång validScope1 eller validScope2.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med krypteringsomfånget validScope1 eller validScope2.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Namn på krypteringsomfång
Operator	ForAnyOfAnyValues:StringEquals
Värde	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång

Med det här villkoret kan en användare läsa eller skriva blobar i ett lagringskonto med namnet sampleaccount och krypterat med krypteringsomfånget ScopeCustomKey1. Om blobar inte krypteras eller dekrypteras med ScopeCustomKey1returnerar begäran förbjudet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Kommentar

Eftersom krypteringsomfången för olika lagringskonton kan vara olika rekommenderar vi att du använder storageAccounts:name attributet med encryptionScopes:name attributet för att begränsa det specifika krypteringsomfång som ska tillåtas.

Diagram över villkor som visar läs- eller skrivåtkomst till blobar i sampleaccount-lagringskontot med krypteringsomfånget ScopeCustomKey1.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Skriva till en blob Skapa en blob eller ögonblicksbild eller lägga till data
Attributkälla	Resurs
Attribut	Kontonamn
Operator	StringEquals
Värde	<accountName>
Expression 2
Operator	och
Attributkälla	Resurs
Attribut	Namn på krypteringsomfång
Operator	ForAnyOfAnyValues:StringEquals
Värde	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Huvudattribut

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på anpassade säkerhetsobjekt.

Exempel: Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut

Det här villkoret tillåter läs- eller skrivåtkomst till blobar om användaren har ett anpassat säkerhetsattribut som matchar blobindextaggen.

Om Till exempel Brenda har attributet Project=Bakerkan hon bara läsa eller skriva blobar med Project=Baker blobindextaggen. På samma sätt kan Chandra bara läsa eller skriva blobar med Project=Cascade.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Mer information finns i Tillåt läsåtkomst till blobar baserat på taggar och anpassade säkerhetsattribut.

Diagram över villkor som visar läs- eller skrivåtkomst till blobar baserat på blobindextaggar och anpassade säkerhetsattribut.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob-villkor
Attributkälla	Främsta
Attribut	<attributeset>_<key>
Operator	StringEquals
Alternativ	Attribut
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	<nyckel>

Villkor nr 2	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva till en blob med blobindextaggar
Attributkälla	Främsta
Attribut	<attributeset>_<key>
Operator	StringEquals
Alternativ	Attribut
Attributkälla	Förfrågan
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	<nyckel>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden

Det här villkoret tillåter läsåtkomst till blobar om användaren har ett anpassat säkerhetsattribut med värden som matchar blobindextaggen.

Om Chandra till exempel har project-attributet med värdena Baker och Cascade kan hon bara läsa blobar med Project=Baker blobindextaggen eller Project=Cascade blobindexet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Mer information finns i Tillåt läsåtkomst till blobar baserat på taggar och anpassade säkerhetsattribut.

Diagram över villkor som visar läsåtkomst till blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob-villkor
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	<nyckel>
Operator	ForAnyOfAnyValues:StringEquals
Alternativ	Attribut
Attributkälla	Främsta
Attribut	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Miljöattribut

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på nätverksmiljön eller aktuellt datum och tid.

Exempel: Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid

Det här villkoret tillåter läsåtkomst till blobcontainer container1 först efter 13.00 den 1 maj 2023 Universal Coordinated Time (UTC).

Det finns två möjliga åtgärder för att läsa befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd	Underoperation
Alla läsåtgärder	Läsa en blob

Välj inte åtgärden Alla läsåtgärder på den översta nivån eller andra underåtgärder enligt följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Inställning Värde

Attributkälla Resurs

Attribut Containernamn

Operator StringEquals

Värde container1

Logiska operatorer "OCH"

Attributkälla Miljö

Attribut UtcNow

Operator DateTimeGreaterThan

Värde 2023-05-01T13:00:00.000Z

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Om du vill lägga till villkoret med kodredigeraren kopierar du följande villkorskodexempel och klistrar in det i kodredigeraren. När du har angett koden växlar du tillbaka till den visuella redigeraren för att verifiera den.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data Reader med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät

Det här villkoret tillåter läs-, skriv-, tilläggs- och borttagningsåtkomst till blobbar i endast från undernät default i container1 det virtuella nätverket virtualnetwork1. Om du vill använda undernätsattributet i det här exemplet måste undernätet ha tjänstslutpunkter aktiverade för Azure Storage.

Det finns fem potentiella åtgärder för att läsa, skriva, lägga till och ta bort åtkomst till befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast de åtgärder på den översta nivån som visas i följande tabell.

Åtgärd	Underoperation
Alla läsåtgärder	n/a
Skriva till en blob	n/a
Skapa en blob eller ögonblicksbild eller lägga till data	n/a
Ta bort en blob	n/a

Välj inte några enskilda underåtgärder som visas i följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Inställning Värde

Attributkälla Resurs

Attribut Containernamn

Operator StringEquals

Värde container1

Logiska operatorer "OCH"

Attributkälla Miljö

Attribut Undernät

Operator StringEqualsIgnoreCase

Värde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data-deltagare med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Kräv åtkomst till privat länk för att läsa blobar med hög känslighet

Det här villkoret kräver begäranden om att läsa blobar där blobindextaggens känslighet har värdet high att vara via en privat länk (alla privata länkar). Det innebär att alla försök att läsa mycket känsliga blobar från det offentliga Internet inte tillåts. Användare kan läsa blobar från det offentliga Internet som har känslighet inställt på något annat värde än high.

En sanningstabell för det här ABAC-exempelvillkoret följer:

Åtgärder	Känslighet	Privat länk	Tillgång
Läsa en blob	Hög	Ja	Tillåtet
Läsa en blob	Hög	Nej	Ej tillåtet
Läsa en blob	INTE högt	Ja	Tillåtet
Läsa en blob	INTE högt	Nej	Tillåtet

Åtgärd Kommentar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd	Underoperation
Alla läsåtgärder	Läsa en blob

Välj inte åtgärden Alla läsåtgärder på den översta nivån för andra underåtgärder enligt följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp Inställning Värde

Grupp nr 1

Attributkälla Resurs

Attribut Blobindextaggar [Värden i nyckel]

Nyckel sensitivity

Operator StringEquals

Värde high

Logiska operatorer "OCH"

Attributkälla Miljö

Attribut Är privat länk

Operator BoolEquals

Värde True

Slut på grupp nr 1

Logiska operatorer "OR"

Attributkälla Resurs

Attribut Blobindextaggar [Värden i nyckel]

Nyckel sensitivity

Operator StringNotEquals

Värde high

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data Reader med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Tillåt endast åtkomst till en container från en specifik privat slutpunkt

Det här villkoret kräver att alla läs-, skriv-, tilläggs- och borttagningsåtgärder för blobar i en lagringscontainer med namnet container1 görs via en privat slutpunkt med namnet privateendpoint1. För alla andra containrar som inte heter container1behöver åtkomsten inte vara via den privata slutpunkten.

Det finns fem möjliga åtgärder för att läsa, skriva och ta bort befintliga blobar. Om du vill göra det här villkoret effektivt för huvudnamn som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Kommentar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast de åtgärder på den översta nivån som visas i följande tabell.

Åtgärd	Underoperation
Alla läsåtgärder	n/a
Skriva till en blob	n/a
Skapa en blob eller ögonblicksbild eller lägga till data	n/a
Ta bort en blob	n/a

Välj inte några enskilda underåtgärder som visas i följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp Inställning Värde

Grupp nr 1

Attributkälla Resurs

Attribut Containernamn

Operator StringEquals

Värde container1

Logiska operatorer "OCH"

Attributkälla Miljö

Attribut Privat slutpunkt

Operator StringEqualsIgnoreCase

Värde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Slut på grupp nr 1

Logiska operatorer "OR"

Attributkälla Resurs

Attribut Containernamn

Operator StringNotEquals

Värde container1

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Om du vill lägga till villkoret med hjälp av kodredigeraren väljer du något av följande villkorskodexempel, beroende på vilken roll som är associerad med tilldelningen. När du har angett koden växlar du tillbaka till den visuella redigeraren för att verifiera den.

Storage Blob Data-ägare:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Storage Blob Data-deltagare:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data-deltagare med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst

Det här villkoret kräver att blobar med indextaggens känslighet inställd high på kan läsas endast av användare som har ett matchande värde för sitt känslighetssäkerhetsattribut . Dessutom måste de nås via en privat slutpunkt med namnet privateendpoint1. Blobar som har ett annat värde för känslighetstaggen kan nås via andra slutpunkter eller Internet.

Åtgärd Kommentar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd	Underoperation
Alla läsåtgärder	Läsa en blob

Välj inte åtgärden på den översta nivån enligt följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp	Inställning	Värde
Grupp nr 1
	Attributkälla	Främsta
	Attribut	<attributeset>_<key>
	Operator	StringEquals
	Alternativ	Attribut
	Logiska operatorer	"OCH"
	Attributkälla	Resurs
	Attribut	Blobindextaggar [Värden i nyckel]
	Nyckel	<nyckel>
	Logiska operatorer	"OCH"
	Attributkälla	Miljö
	Attribut	Privat slutpunkt
	Operator	StringEqualsIgnoreCase
	Värde	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Slut på grupp nr 1
	Logiska operatorer	"OR"
	Attributkälla	Resurs
	Attribut	Blobindextaggar [Värden i nyckel]
	Nyckel	`sensitivity`
	Operator	StringNotEquals
	Värde	`high`

Följande bild visar villkoret när inställningarna har angetts i Azure-portalen. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data Reader med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel på villkor för Azure-rolltilldelning för Blob Storage

Förutsättningar

Sammanfattning av exempel i den här artikeln

Blobindextaggar

Exempel: Läsa blobar med en blobindextagg

Exempel: Nya blobar måste innehålla en blobindextagg

Exempel: Befintliga blobar måste ha blobindextaggnycklar

Exempel: Befintliga blobar måste ha en blobindextaggnyckel och värden

Namn eller sökvägar för blobcontainer

Exempel: Läsa, skriva eller ta bort blobar i namngivna containrar

Exempel: Läsa blobar i namngivna containrar med en sökväg

Exempel: Läsa eller lista blobar i namngivna containrar med en sökväg

Exempel: Skriva blobar i namngivna containrar med en sökväg

Exempel: Läsa blobar med en blobindextagg och en sökväg

Metadata för blobcontainer

Exempel: Läsa blobar i container med specifika metadata

Exempel: Skriva eller ta bort blobar i container med specifika metadata

Blobversioner eller blobögonblicksbilder

Exempel: Skrivskyddade aktuella blobversioner

Exempel: Läsa aktuella blobversioner och en specifik blobversion

Exempel: Ta bort gamla blobversioner

Exempel: Läsa aktuella blobversioner och eventuella blobögonblicksbilder

Exempel: Tillåt att listblobåtgärden inkluderar blobmetadata, ögonblicksbilder eller versioner

Exempel: Begränsa listblobåtgärden till att inte inkludera blobmetadata

Hierarkisk namnrymd

Exempel: Skrivskyddade lagringskonton med hierarkiskt namnområde aktiverat

Krypteringsomfång

Exempel: Läsa blobar med specifika krypteringsomfång

Exempel: Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång

Huvudattribut

Exempel: Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut

Exempel: Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden

Miljöattribut

Exempel: Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid

Lägg till åtgärd

Skapa uttryck

Exempel: Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät

Lägg till åtgärd

Skapa uttryck

Exempel: Kräv åtkomst till privat länk för att läsa blobar med hög känslighet

Lägg till åtgärd

Skapa uttryck

Exempel: Tillåt endast åtkomst till en container från en specifik privat slutpunkt

Lägg till åtgärd

Skapa uttryck

Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst

Lägg till åtgärd

Skapa uttryck

Nästa steg

Ytterligare resurser