Azure Blob Depolama için Azure rol atama koşullarına yönelik eylemler ve öznitelikler
Makale
Bu makalede, her Azure Depolama VerisiAction için Azure rol atamalarındaki koşullarda kullanılabilecek desteklenen öznitelik sözlükleri açıklanmaktadır. Belirli bir iznin veya DataAction'ın etkilediği Blob hizmeti işlemlerinin listesi için bkz . Blob hizmeti işlemleri için izinler.
Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için bkz . Azure Depolama'daki koşul özelliklerinin durumu.
Birden çok Depolama hizmeti işlemi tek bir izin veya DataAction ile ilişkilendirilebilir. Ancak, aynı izinle ilişkili bu işlemlerin her biri farklı parametreleri destekleyebileceğinden. Alt işlemler , aynı izni gerektiren ancak koşullar için farklı öznitelik kümesini destekleyen hizmet işlemleri arasında ayrım yapmanızı sağlar. Bu nedenle, bir alt çalışma kullanarak, belirli bir parametreyi destekleyen bir işlem alt kümesine erişim için bir koşul belirtebilirsiniz. Ardından, bu parametreyi desteklemeyen aynı eyleme sahip işlemler için başka bir erişim koşulu kullanabilirsiniz.
Örneğin, Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write eylem bir düzineden fazla farklı hizmet işlemi için gereklidir. Bu işlemlerden bazıları blob dizini etiketlerini istek parametresi olarak kabul edebilirken, diğerleri kabul etmese de. Blob dizin etiketlerini parametre olarak kabul eden işlemler için, bir İstek koşulunda blob dizin etiketlerini kullanabilirsiniz. Ancak, eylemde Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write böyle bir koşul tanımlanmışsa, etiketleri istek parametresi olarak kabul etmeyen tüm işlemler bu koşulu değerlendiremez ve yetkilendirme erişim denetiminde başarısız olur.
Bu durumda isteğe bağlı alt çalışma Blob.Write.WithTagHeaders , yalnızca blob dizin etiketlerini istek parametresi olarak destekleyen işlemlere koşul uygulamak için kullanılabilir.
Not
Bloblar ayrıca rastgele kullanıcı tanımlı anahtar-değer meta verilerini depolama özelliğini de destekler. Meta veriler blob dizin etiketlerine benzer olsa da, blob dizin etiketlerini koşullarla birlikte kullanmanız gerekir. Daha fazla bilgi için bkz . Blob dizini etiketleriyle Azure Blob verilerini yönetme ve bulma.
eylemleri ve alt işlemleri Azure Blob Depolama
Bu bölümde, koşullar için hedefleyebileceğiniz desteklenen Azure Blob Depolama eylemleri ve alt işlemleri listelenir. Aşağıdaki tabloda özetlenmişlerdir:
Alt Read content from a blob with tag conditions işlem kullanım dışı bırakıldı. Şu anda ABAC özellik önizlemesi sırasında uygulanan koşullarla uyumluluk için desteklense de, Microsoft bunun yerine Blob okuma eylemini kullanmanızı önerir.
Azure portalında ABAC koşullarını yapılandırırken KULLANıM DıŞı: Etiket koşullarına sahip bir blobdan içerik okuma makalesini görebilirsiniz. Microsoft, işlemin kaldırılmasını ve eylemiyle değiştirilmesini Read a blob önerir.
Okuma erişimini etiket koşullarına göre kısıtlamak istediğiniz kendi koşulunuzu yazarsanız lütfen Örnek: Blob dizin etiketine sahip blobları okuma bölümüne bakın.
!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) Örnek: Yeni bloblar bir blob dizin etiketi içermelidir
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri
Özellik
Değer
Görünen ad
Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri
Açıklama
Hiyerarşik ad alanı etkin depolama hesaplarında tüm veri işlemleri için DataAction. Rol tanımınız eylemi içeriyorsa Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action , bu eylemi koşulunuzda hedeflemeniz gerekir. Bu eylemi hedeflemek, bir depolama hesabı için hiyerarşik ad alanı etkinleştirildiyse koşulun beklendiği gibi çalışmaya devam etmesini sağlar.
Bu bölümde, hedeflediğiniz eyleme bağlı olarak koşul ifadelerinizde kullanabileceğiniz Azure Blob Depolama öznitelikleri listelenir. Tek bir koşul için birden çok eylem seçerseniz, özniteliklerin seçilen eylemlerde kullanılabilir olması gerektiğinden, koşulunuz için aralarından seçim yapabileceğiniz öznitelik sayısı daha az olabilir.
Not
Listelenen öznitelikler ve değerler, aksi belirtilmedikçe büyük/küçük harfe duyarsız olarak kabul edilir.
Aşağıdaki tabloda kaynağa göre kullanılabilir öznitelikler özetlemektedir:
Blob kaynağındaki dizin etiketleri. Blob kaynağıyla birlikte depolayabileceğiniz rastgele kullanıcı tanımlı anahtar-değer özellikleri. Blob dizini etiketlerindeki anahtarı denetlemek istediğinizde kullanın. Yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.
Blob kaynağındaki dizin etiketleri. Blob kaynağıyla birlikte depolayabileceğiniz rastgele kullanıcı tanımlı anahtar-değer özellikleri. Blob dizini etiketlerindeki anahtarı (büyük/küçük harfe duyarlı) ve değeri denetlemek istediğinizde kullanın. Yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.
Öznitelik için Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path koşullar belirtilirken, değerler kapsayıcı adını veya önceki eğik çizgi (/) karakterini içermemelidir. Url kodlaması olmadan yol karakterlerini kullanın.
Blob ön eki
Özellik
Değer
Görünen ad
Blob ön eki
Açıklama
Listelenecek blobların izin verilen ön eki. Sanal dizin veya klasör kaynağının yolu. Blob yolundaki klasörleri denetlemek istediğinizde kullanın.
Öznitelik için Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix koşullar belirtilirken, değerler kapsayıcı adını veya önceki eğik çizgi (/) karakterini içermemelidir. Url kodlaması olmadan yol karakterlerini kullanın.
Kapsayıcı adı
Özellik
Değer
Görünen ad
Kapsayıcı adı
Açıklama
Depolama kapsayıcısının veya dosya sisteminin adı. Kapsayıcı adını denetlemek istediğinizde kullanın.
Bir kapsayıcıyla ilişkilendirilmiş meta veri anahtarı/değer çifti. Kapsayıcı için belirli meta verileri denetlemek istediğinizde kullanın. Şu anda önizleme aşamasındadır.
Nesneye erişilen özel uç nokta. Belirli bir özel uç nokta üzerinden erişimi kısıtlamak için kullanın. Yalnızca en az bir özel uç nokta yapılandırılmış aboneliklerdeki depolama hesapları için kullanılabilir.
Blob anlık görüntüsünün Anlık Görüntü tanımlayıcısı. Yalnızca hiyerarşik ad alanının etkinleştirilmediği ve şu anda hiyerarşik ad alanının etkinleştirildiği depolama hesapları için önizleme aşamasında olan depolama hesapları için kullanılabilir.
Nesneye erişilen alt ağ. Belirli bir alt ağa erişimi kısıtlamak için kullanın. Yalnızca hizmet uç noktalarının yapılandırıldığı en az bir sanal ağ alt ağına sahip aboneliklerdeki depolama hesapları için kullanılabilir.
Azure HPC, en iyi uygulama performansı, ölçeklenebilirlik ve değer sunmak için önde gelen işlemcileri ve HPC sınıfı InfiniBand ara bağlantısını kullanan HPC ve AI iş yükü için amaca yönelik bir bulut özelliğidir. Azure HPC, iş ve teknik gereksinimleriniz değiştikçe dinamik olarak ayrılabilen yüksek oranda kullanılabilir hpc ve yapay zeka teknolojileri aracılığıyla kullanıcıların yenilik, üretkenlik ve iş çevikliğini ortaya çıkarmalarını sağlar. Bu öğrenme yolu, Azure HPC'yi kullanmaya başlamanıza yardımcı o