Blob Depolama için örnek Azure rol atama koşulları

Bu makalede, Azure Blob Depolama'ya erişimi denetlemeye yönelik rol atama koşullarına ilişkin bazı örnekler listeleniyor.

Önemli

Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında request, resource, environment ve principal özniteliklerini kullanarak Azure Blob Depolama, Azure Data Lake Storage 2. Nesil ve Azure Kuyruklarına erişimi denetlemek için genel kullanıma sunulmuştur (GA). Şu anda liste blobu istek özniteliğini içerir ve hiyerarşik ad alanı için anlık görüntü isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için Azure Depolama'daki koşul özelliklerinin durumu başlıklı bölüme bakın.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önkoşullar

Rol atama koşullarını ekleme veya düzenleme önkoşulları hakkında bilgi için bkz . Koşullar önkoşulları.

Bu makaledeki örneklerin özeti

ABAC senaryonuza uygun bir örneği hızla bulmak için aşağıdaki tabloyu kullanın. Tablo senaryonun kısa bir açıklamasının yanı sıra örnekte kaynağa (ortam, sorumlu, istek ve kaynak) göre kullanılan özniteliklerin listesini içerir.

Örnek	Çevre	Müdür	İstek	Kaynak
Blob dizin etiketiyle blobları okuma				Etiketler
Yeni bloblar blob dizin etiketi içermelidir			Etiketler
Mevcut blobların blob dizin etiketi anahtarları olmalıdır			Etiketler
Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır			Etiketler
Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme				kapsayıcı adı
Adlandırılmış kapsayıcılardaki blobları belirtilen yoldan okuma				kapsayıcı adı blob yolu
Adlandırılmış kapsayıcılardaki blobları bir yol ile okuma veya listeleme			blob ön eki	kapsayıcı adı blob yolu
Adlandırılmış kapsayıcılarda bir yol ile blob yazma				kapsayıcı adı blob yolu
Blob dizin etiketi ve yolu olan blobları okuma				etiketler blob yolu
Belirli meta verilere sahip kapsayıcıdaki blobları oku				kapsayıcı meta verileri
Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme				kapsayıcı meta verileri
Sadece mevcut blob sürümleri				geçerliSürümMü
Şu anki blob sürümlerini ve belirli bir blob sürümünü okuma			versionId	geçerliSürümMü
Eski blob sürümlerini silme			versionId
Geçerli blob sürümlerini ve blob anlık görüntülerini okuma			anlık görüntü	geçerliSürümMü
Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver			liste blobu dahil etme
Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama			liste blobu dahil etme
Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları				isHnsEnabled
Belirli şifreleme kapsamlarına sahip blobları okuma				Şifreleme kapsamı adı
Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma				Depolama hesabı adı Şifreleme kapsamı adı
Blob dizin etiketleri ve özel güvenlik özniteliklerine göre blobları okuma veya yazma		Kimlik	Etiketler	Etiketler
Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma		Kimlik		Etiketler
Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme	UtcNow			kapsayıcı adı
Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme	Alt ağ			kapsayıcı adı
Yüksek hassasiyete sahip okuma bloblarına özel bağlantı erişimi gerektirme	isPrivateLink			Etiketler
Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme	Özel uç nokta			kapsayıcı adı
Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver	Özel uç nokta	Kimlik		Etiketler

Blob dizin etiketleri

Bu bölümde blob dizin etiketleriyle ilgili örnekler yer alır.

Önemli

Her ne kadar Read content from a blob with tag conditions alt çalışma şu anda ABAC özellik önizlemesi sırasında uygulanan koşullarla uyumluluk için desteklense de tanım dışı bırakılmıştır ve Microsoft bunun yerine eylem Read a blob'in kullanılmasını önerir.

Azure portalında ABAC koşullarını yapılandırırken KULLANIM DIŞI: Etiket koşullarına sahip bir blobdan içerik okuyabilirsiniz. Microsoft, işlemin kaldırılmasını ve Read a blob eylemi ile değiştirilmesini önerir.

Kendi etiket koşullarınıza göre okuma erişimini kısıtlayan bir koşul oluşturuyorsanız lütfen Örnek: Blob dizin etiketine sahip blobları okuma kısmına bakın.

Örnek: Blob dizin etiketiyle blobları okuma

Bu koşul, kullanıcıların "Proje" anahtarı ve "Cascade" değeri olan blob dizin etiketine sahip blobları okumasına olanak tanır. Bu anahtar-değer etiketi olmadan bloblara erişme girişimlerine izin verilmez.

Bu koşulun bir güvenlik sorumlusu için etkili olması için, bunu aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir:

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Blob dizin etiketiyle bloblara okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalı görsel düzenleyicisini kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
Anahtar	{anahtarAdı}
Operatör	StringEquals
Değer	{keyValue}

Kod düzenleyicisini kullanarak koşulu eklemek için koşul kodu örneğini kopyalayın ve kod düzenleyicisine yapıştırın. Kodunuzu girdikten sonra doğrulamak için görsel düzenleyiciye geri dönün.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri blob dizin etiketini denetleen ifadeye göre daha fazla değerlendirilir.

Kullanıcı, atanan rolde koşul tarafından kısıtlanmış bir eylem olmayan bir eylem gerçekleştirmeye çalışırsa, !(ActionMatches) true olarak değerlendirilir ve genel koşul true olarak değerlendirilir. Bu sonuç eylemin gerçekleştirilmesini sağlar.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Örnek: Yeni bloblar bir blob dizin etiketi içermelidir

Bu koşul, tüm yeni blobların Project'in blob dizin etiketi anahtarını ve Cascade değerini içermesini gerektirir.

Yeni bloblar oluşturmanıza olanak sağlayan iki eylem vardır, bu nedenle her ikisini de hedeflemeniz gerekir. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir:

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Yeni blobları gösteren koşul diyagramı bir blob dizin etiketi içermelidir.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketleriyle bloba yazma
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
Anahtar	{keyName}
Operatör	StringEquals
Değer	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Örnek: Mevcut blobların blob dizin etiketi anahtarları olmalıdır

Bu koşul, mevcut blobların izin verilen blob dizini etiket anahtarlarından en az biriyle etiketlenmiş olmasını gerektirir: Project veya Program. Bu koşul, mevcut bloblara idare eklemek için kullanışlıdır.

Mevcut bloblardaki etiketleri güncelleştirmenize olanak sağlayan iki eylem vardır, bu nedenle her ikisini de hedeflemeniz gerekir. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir:

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Mevcut blobların blob dizin etiketi anahtarları olması gerektiğini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketlerini yaz
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtarlar]
Operatör	ForAllOfAnyValues:StringEquals
Değer	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Örnek: Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır

Bu koşul, mevcut blobların Project blob dizin etiketi anahtarına ve Cascade, Baker veya Skagit değerlerine sahip olmasını gerektirir. Bu koşul, mevcut bloblara idare eklemek için kullanışlıdır.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Mevcut blobların blob dizin etiketi anahtarına ve değerlerine sahip olması gerektiğini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketlerini yaz
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtarlar]
Operatör	ForAnyOfAnyValues:StringEquals
Değer	{keyName}
Operatör	Ve
İfade 2
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
Anahtar	{keyName}
Operatör	ForAllOfAnyValues:StringEquals
Değer	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Blob kapsayıcı adları veya yolları

Bu bölüm, kapsayıcı adına veya blob yoluna göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme

Bu koşul kullanıcıların blobs-example-container adlı depolama kapsayıcılarındaki blobları okumasına, yazmasına veya silmesine olanak tanır. Bu koşul, belirli depolama kapsayıcılarını abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Mevcut blobları okumak, yazmak ve silmek için beş eylem vardır. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Koşullar yalnızca etiketlere göre yazıldığında alt çalışmalar gerektiğinden, bu koşulda alt çalışmalar kullanılmaz.

Adlandırılmış kapsayıcılardaki okuma, yazma veya silme bloblarını gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Bir blob'u sil Blobu okuma Bloba yazma Blob veya anlık görüntü oluşturma veya veri ekleme Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}

Depolama Blobu Veri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Depolama Blobu Veri Katılımcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Örnek: Adlandırılmış kapsayıcılardaki blobları belirtilen bir yol ile okuma

Bu koşul, blob yolu readonly/* olan blobs-example-container adlı depolama kapsayıcılarına okuma erişimi sağlar. Bu koşul, okuma erişimi için depolama kapsayıcılarının belirli bölümlerini abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
İfade 2
Operatör	Ve
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringLike
Değer	{pathString}

Depolama Blobu Veri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Depolama Blobu Veri Okuyucusu, Depolama Blobu Veri Katkıcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Liste Blokları işlemine izin verilir, ancak diğer tüm okuma eylemleri kapsayıcı adını ve yolunu kontrol eden ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Örnek: Yolu olan adlandırılmış kapsayıcılardaki blobları okuma veya listeleme

Bu koşul, blob yolu readonly/* olan blobs-example-container adlı depolama kapsayıcılarına okuma erişimi ve listeleme erişimi sağlar. Koşul 1, liste blobları hariç okuma eylemleri için geçerlidir. Koşul 2, liste blobları için geçerlidir. Bu koşul, okuma veya liste erişimi için depolama kapsayıcılarının belirli bölümlerini abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara okuma ve listeleme erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Uyarı

Azure portalı kapsayıcının kök dizinindeki blobları listelemek için prefix='' kullanır. Koşul, StringStartsWith 'readonly/' ön eki kullanılarak blobları listeleme işlemiyle eklendikten sonra, hedeflenen kullanıcılar Azure portalında kapsayıcının kök dizininden blobları listeleyemez.

Koşul #1	Ayarlar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
İfade 2
Operatör	Ve
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringStartsWith
Değer	{pathString}

Koşul #2	Ayarlar
Eylemler	Blobları listeleme Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
İfade 2
Operatör	Ve
Öznitelik kaynağı	İstek
Öznitelik	Blob ön eki
Operatör	StringStartsWith
Değer	{pathString}

Depolama Blobu Veri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Depolama Blobu Veri Okuyucusu, Depolama Blobu Veri Katkıcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Adlandırılmış kapsayıcılara belirtilen yolla bloblar yazma

Bu koşul, iş ortağının (Microsoft Entra konuk kullanıcısı) uploads/contoso/* yoluyla Contosocorp adlı depolama kapsayıcılarına dosya bırakmasına olanak tanır. Bu koşul, diğer kullanıcıların depolama kapsayıcılarına veri yerleştirmesine izin vermek için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara yazma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Bloba yazma Blob veya anlık görüntü oluşturma veya veri ekleme Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
İfade 2
Operatör	Ve
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringLike
Değer	{pathString}

Depolama Blobu Veri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Depolama Blobu Veri Katılımcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Örnek: Blob dizini etiketi ve bir yol ile blobları okuma

Bu koşul, kullanıcının Program blob dizin etiketi anahtarı, Alpine değeri ve günlüklerin blob yolu* ile blobları okumasına olanak tanır. Günlüklerin blob yolu* blob adını da içerir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Blob dizin etiketi ve yoluna sahip bloblara okuma erişimini gösteren bir koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
Anahtar	{keyName}
Operatör	StringEquals
Değer	{keyValue}

Koşul #2	Ayarlar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringLike
Değer	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri blob dizin etiketini ve yolunu denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Blob kapsayıcılarının meta verileri

Örnek: Kapsayıcıdaki blobları belirli meta verilerle okuma

Bu koşul, kullanıcıların belirli bir meta veri anahtarı/değer çifti ile blob kapsayıcılarındaki blobları okumasına olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı meta verileri
Operatör	StringEquals
Değer	{containerName}

depolama blobu veri okuyucu

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme

Bu koşul, kullanıcıların belirli bir meta veri anahtarı/değer çiftine sahip blob kapsayıcılarında blob yazmasına veya silmesine olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Bloba yazma Bir blob'u sil
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı meta verileri
Operatör	StringEquals
Değer	{containerName}

Depolama Blobu Veri Katılımcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Blob sürümleri veya blob anlık görüntüleri

Bu bölüm, blob sürümüne veya anlık görüntüye göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Yalnızca mevcut blob sürümlerini oku

Bu koşul, kullanıcının yalnızca geçerli blob sürümlerini okumasına olanak tanır. Kullanıcı diğer blob sürümlerini okuyamaz.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Yalnızca geçerli blob sürümüne okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Geçerli Sürümdür
Operatör	BoolEquals
Değer	Doğru

Depolama Blobu Veri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Depolama Blobu Veri Okuyucusu, Depolama Blobu Veri Katkıcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri sürümü denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Geçerli blob sürümlerini ve belirli bir blob sürümünü okuma

Bu koşul, kullanıcının geçerli blob sürümlerini okumasına ve 2022-06-01T23:38:8883645Z sürüm kimliğine sahip blobları okumasına olanak tanır. Kullanıcı diğer blob sürümlerini okuyamaz. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Belirli bir blob sürümüne okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma
Öznitelik kaynağı	İstek
Öznitelik	Sürüm Kimliği
Operatör	DateTimeEquals
Değer	<blobVersionId>
İfade 2
Operatör	Veya
Öznitelik kaynağı	Kaynak
Öznitelik	Geçerli Sürümdür
Operatör	BoolEquals
Değer	Doğru

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri sürüm bilgilerini denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Eski blob sürümlerini silme

Bu koşul, kullanıcının temizleme gerçekleştirmek için blobun 06.01.2022'den eski sürümlerini silmesine olanak tanır. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Eski blob sürümlerine silme erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Bir blob'u sil Blobun sürümünü silme
Öznitelik kaynağı	İstek
Öznitelik	Sürüm Kimliği
Operatör	DateTimeLessThan
Değer	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Geçerli blob sürümlerini ve blob anlık görüntülerini okuyun

Bu koşul, kullanıcının geçerli blob sürümlerini ve tüm blob anlık görüntülerini okumasına olanak tanır. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir. Snapshot özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir ve şu anda hiyerarşik ad alanının etkinleştirildiği depolama hesapları için önizleme aşamasındadır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Geçerli blob sürümlerine ve blob anlık görüntülerine okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	İstek
Öznitelik	Anlık Görüntü
Mevcut	Kontrol
İfade 2
Operatör	Veya
Öznitelik kaynağı	Kaynak
Öznitelik	Geçerli Sürümdür
Operatör	BoolEquals
Değer	Doğru

Depolama Blobu Veri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Depolama Blobu Veri Okuyucusu, Depolama Blobu Veri Katkıcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Liste Blobları işlemine izin verilir, ancak diğer tüm okuma işlemleri sürüm ve anlık görüntü bilgilerini denetleyen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver

Bu koşul, kullanıcının kapsayıcıdaki blobları listelemesine ve meta verileri, anlık görüntüyü ve sürüm bilgilerini eklemesine olanak tanır. Liste blobları ekleme özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Uyarı

Liste blobları bir istek özniteliğidir ve include işlemi çağrılırken parametredeki değerlere izin vererek veya bunları kısıtlayarak çalışır. parametresindeki include değerler, çapraz ürün karşılaştırma işleçleri kullanılarak koşulda belirtilen değerlerle karşılaştırılır. Karşılaştırma true olarak değerlendirilirse isteğe List Blobs izin verilir. Karşılaştırma false olarak değerlendirilirse istek List Blobs reddedilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobları listeleme
Öznitelik kaynağı	İstek
Öznitelik	Liste blobları şunlardır:
Operatör	ForAllOfAnyValues:StringEqualsIgnoreCase
Değer	{'meta veriler', 'anlık görüntüler', 'sürümler'}

depolama blobu veri okuyucu

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

Bu örnekte, koşul alt işlem Blob.List olduğunda okuma eylemini kısıtlar. Bu, bir Liste Blobları işleminin, değerleri denetleyen ifadeye göre daha fazla değerlendirildiğini, ancak diğer tüm okuma eylemlerine izin verildiğini gösterir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama

Bu koşul, isteğe meta veriler eklendiğinde kullanıcının blobları listelemesini kısıtlar. Liste blobları ekleme özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Uyarı

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobları listeleme
Öznitelik kaynağı	İstek
Öznitelik	Liste blobları şunlardır:
Operatör	ForAllOfAllValues:StringNotEquals
Değer	{'metadata'}

depolama blobu veri okuyucu

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Hiyerarşik ad alanı

Bu bölüm, depolama hesabı için hiyerarşik ad alanının etkinleştirilip etkinleştirilmediğine bağlı olarak nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları

Bu koşul, kullanıcının yalnızca hiyerarşik ad alanı etkin depolama hesaplarındaki blobları okumasına olanak tanır. Bu koşul yalnızca kaynak grubu kapsamında veya üstünde geçerlidir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Hiyerarşik ad alanı etkin depolama hesaplarına okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Hiyerarşik ad alanı etkin mi?
Operatör	BoolEquals
Değer	Doğru

Depolama Blobu Veri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Depolama Blobu Veri Okuyucusu, Depolama Blobu Veri Katkıcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Bir Liste Blobları işlemine izin verilir, ancak diğer tüm okuma eylemleri hiyerarşik ad alanını denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Şifreleme kapsamı

Bu bölüm, onaylı bir şifreleme kapsamına sahip nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Belirli şifreleme kapsamlarına sahip blobları okuma

Bu koşul, kullanıcının şifreleme kapsamı validScope1 veya validScope2ile şifrelenmiş blobları okumasına olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Şifreleme kapsamı validScope1 veya validScope2 olan bloblara okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Şifreleme kapsamı adı
Operatör	ForAnyOfAnyValues:StringEquals
Değer	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri şifreleme kapsamlarını denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma

Bu koşul, kullanıcının adlı sampleaccount ve şifreleme kapsamıyla ScopeCustomKey1şifrelenmiş bir depolama hesabındaki blobları okumasına veya yazmasına olanak tanır. Blob'lar ScopeCustomKey1 ile şifrelenmez veya şifresi çözülmezse, istek yasaklanmış olarak geri döner.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Uyarı

Farklı depolama hesapları için şifreleme kapsamları farklı olabileceğinden, belirli bir şifreleme kapsamının kullanılmasına izin vermek amacıyla storageAccounts:name özniteliği ile encryptionScopes:name özniteliğinin birlikte kullanılması önerilir.

Şifreleme kapsamı ScopeCustomKey1 ile sampleaccount depolama hesabındaki bloblara okuma veya yazma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blobu okuma Bloba yazma Blob veya anlık görüntü oluşturma veya veri ekleme
Öznitelik kaynağı	Kaynak
Öznitelik	Hesap adı
Operatör	StringEquals
Değer	<hesapAdı>
İfade 2
Operatör	Ve
Öznitelik kaynağı	Kaynak
Öznitelik	Şifreleme kapsamı adı
Operatör	ForAnyOfAnyValues:StringEquals
Değer	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Asıl öznitelikler

Bu bölüm, özel güvenlik sorumlularına göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Blob dizin etiketlerini ve özel güvenlik özniteliklerini temel alan blobları okuma veya yazma

Bu koşul, kullanıcının blob dizin etiketiyle eşleşen özel bir güvenlik özniteliği varsa bloblara okuma veya yazma erişimi sağlar.

Örneğin, Brenda'nın Project=Baker özelliği varsa, yalnızca Project=Baker blob dizin etiketiyle blobları okuyabilir veya yazabilir. Benzer şekilde, Chandra yalnızca blobları Project=Cascade ile okuyabilir veya yazabilir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Daha fazla bilgi için bkz. Etiketlere ve özel güvenlik özniteliklerine göre bloblara okuma erişimine izin verme.

Blob dizin etiketlerine ve özel güvenlik özniteliklerine göre bloblara okuma veya yazma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blob koşullarını oku
Öznitelik kaynağı	Müdür
Öznitelik	<özellikseti>_<anahtar>
Operatör	StringEquals
Seçenek	Öznitelik
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
Anahtar	<anahtar>

Koşul #2	Ayarlar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketleriyle bloba yazma
Öznitelik kaynağı	Müdür
Öznitelik	<özellikseti>_<anahtar>
Operatör	StringEquals
Seçenek	Öznitelik
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
Anahtar	<anahtar>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Örnek: Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma

Bu koşul, kullanıcının blob dizin etiketiyle eşleşen herhangi bir değere sahip özel bir güvenlik özniteliği varsa bloblara okuma erişimi sağlar.

Örneğin, Chandra, Baker ve Cascade değerlerine sahip Project özniteliğine sahipse, yalnızca Project=Baker veya Project=Cascade blob dizin etiketine sahip blobları okuyabilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Daha fazla bilgi için bkz. Etiketlere ve özel güvenlik özniteliklerine göre bloblara okuma erişimine izin verme.

Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alarak bloblara okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayarlar
Eylemler	Blob koşullarını oku
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
Anahtar	<anahtar>
Operatör	ForAnyOfAnyValues:StringEquals
Seçenek	Öznitelik
Öznitelik kaynağı	Müdür
Öznitelik	<özellikseti>_<anahtar>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri blob dizini etiketlerini ve özel güvenlik özniteliklerini denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Ortam öznitelikleri

Bu bölüm, ağ ortamına veya geçerli tarih ve saate göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme

Bu koşul, blob kapsayıcısına container1 yalnızca 1 Mayıs 2023 Evrensel Eşgüdümlü Saat (UTC) saat 13:00'den sonra okuma erişimi sağlar.

Mevcut blobları okumak için iki olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi en üst düzey Tüm okuma işlemleri eylemini veya diğer alt işlemleri seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Ayarlar Değer

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringEquals

Değer container1

Mantıksal işleç 'VE'

Öznitelik kaynağı Çevre

Öznitelik UtcNow

Operatör DateTimeGreaterThan

Değer 2023-05-01T13:00:00.000Z

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Kod düzenleyicisini kullanarak koşulu eklemek için aşağıdaki koşul kodu örneğini kopyalayın ve kod düzenleyicisine yapıştırın. Kodunuzu girdikten sonra doğrulamak için görsel düzenleyiciye geri dönün.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blobu Veri Okuyucusu rolü için bu koşulu ekleme burada açıklanmaktadır.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme

Bu koşul yalnızca sanal ağdaki alt ağdan container1defaultbloblara virtualnetwork1 okuma, yazma, ekleme ve silme erişimi sağlar. Bu örnekte Subnet özniteliğini kullanmak için alt ağda Azure Depolama için hizmet uç noktaları etkinleştirilmelidir .

Mevcut bloblara okuma, yazma, ekleme ve silme erişimi için beş olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Eylem ekle

Eylem ekle'yi ve ardından yalnızca aşağıdaki tabloda gösterilen en üst düzey eylemleri seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Geçerli Değil
Bloba yazma	Geçerli Değil
Blob veya anlık görüntü oluşturma veya veri ekleme	Geçerli Değil
Bir blob'u sil	Geçerli Değil

Aşağıdaki görüntüde gösterildiği gibi tek tek alt işlem seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Ayarlar Değer

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringEquals

Değer container1

Mantıksal işleç 'VE'

Öznitelik kaynağı Çevre

Öznitelik alt ağ

Operatör StringEqualsIgnoreCase

Değer /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blobu Veri Katkıda Bulunanı rolü için bu koşulu şu şekilde ekleyebilirsiniz.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Yüksek hassasiyete sahip okuma blobları için özel bağlantı erişimi gerektir

Bu koşul, blob dizin etiketinin duyarlılık değerinin high olması durumunda, blobları okuma isteklerinin bir özel bağlantı (herhangi bir özel bağlantı) üzerinden gerçekleştirilmesini gerektirir. Bu, son derece hassas blobları genel internetten okuma girişimlerine izin verilmeyeceği anlamına gelir. Kullanıcılar, genel İnternet'te duyarlılık değeri high dışında bir değere ayarlanmış blobları okuyabilir.

Bu ABAC örnek koşulu için bir doğruluk tablosu aşağıdaki gibidir:

Eylem	Duyarlılık	Özel bağlantı	Erişim
Bir blob okuyun	yüksek	Evet	İzin Verilir
Bir blob okuyun	yüksek	Hayı	İzin Verilmiyor
Bir blob okuyun	YÜKSEK DEĞİl	Evet	İzin Verilir
Blobu okuma	YÜKSEK DEĞİl	Hayı	İzin Verilir

Eylem Notlar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi diğer alt işlemlerin en üst düzey Tüm okuma işlemleri eylemini seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup Ayarlar Değer

Grup #1

Öznitelik kaynağı Kaynak

Öznitelik Blob dizin etiketleri [Anahtar içindeki değerler]

Anahtar sensitivity

Operatör StringEquals

Değer high

Mantıksal işleç VE

Öznitelik kaynağı Çevre

Öznitelik Özel bağlantıdır

Operatör BoolEquals

Değer True

Grup 1'in Sonu

Mantıksal işleç 'VEYA'

Öznitelik kaynağı Kaynak

Öznitelik Blob dizin etiketleri [Anahtar içindeki değerler]

Anahtar sensitivity

Operatör StringNotEquals

Değer high

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Bu da liste blob işleminin yapılmasına izin verildiği, ancak diğer tüm okuma eylemlerinin ifadeye göre yeniden değerlendirildiği anlamına gelir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blobu Veri Okuyucusu rolü için bu koşulu ekleme burada açıklanmaktadır.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme

Bu koşul, adlı container1 bir depolama kapsayıcısında bloblar için tüm okuma, yazma, ekleme ve silme işlemlerinin adlı privateendpoint1özel uç nokta aracılığıyla yapılmasını gerektirir. container1 dışında adlandırılmayan tüm diğer kapsayıcılar için, erişimin özel uç nokta üzerinden olması gerekmez.

Mevcut blobları okumak, yazmak ve silmek için beş olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi ve ardından yalnızca aşağıdaki tabloda gösterilen en üst düzey eylemleri seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Geçerli Değil
Bloba yazma	Geçerli Değil
Blob veya anlık görüntü oluşturma veya veri ekleme	Geçerli Değil
Bir blob'u sil	Geçerli Değil

Aşağıdaki görüntüde gösterildiği gibi tek tek alt işlem seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup Ayarlar Değer

Grup #1

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringEquals

Değer container1

Mantıksal işleç VE

Öznitelik kaynağı Çevre

Öznitelik Özel uç nokta

Operatör StringEqualsIgnoreCase

Değer /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Grup 1'in Sonu

Mantıksal işleç 'VEYA'

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringNotEquals

Değer container1

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Kod düzenleyicisini kullanarak koşulu eklemek için, atamayla ilişkili role bağlı olarak aşağıdaki koşul kodu örneklerinden birini seçin. Kodunuzu girdikten sonra doğrulamak için görsel düzenleyiciye geri dönün.

Depolama Blobu Veri Sahipliği:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Depolama Blobu Veri Katkısı Sağlayıcısı:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blobu Veri Katkıda Bulunanı rolü için bu koşulu şu şekilde ekleyebilirsiniz.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver

Bu koşul, dizin etiketi duyarlılığı ayarlanmış high blobların yalnızca duyarlılık güvenlik özniteliği için eşleşen bir değere sahip kullanıcılar tarafından okunabilmesini gerektirir. Ayrıca, bunlara adlı privateendpoint1özel bir uç nokta üzerinden erişilmesi gerekir. Duyarlılık etiketi için farklı bir değere sahip bloblara diğer uç noktalar veya İnternet üzerinden erişilebilir.

Eylem Notlar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının depolama blobu veri sahibi gibi bu eylemi içerip içermediğini ekleyin.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi en üst düzey eylemi seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup	Ayarlar	Değer
Grup #1
	Öznitelik kaynağı	Müdür
	Öznitelik	<özellikseti>_<anahtar>
	Operatör	StringEquals
	Seçenek	Öznitelik
	Mantıksal işleç	VE
	Öznitelik kaynağı	Kaynak
	Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
	Anahtar	<anahtar>
	Mantıksal işleç	VE
	Öznitelik kaynağı	Çevre
	Öznitelik	Özel uç nokta
	Operatör	StringEqualsIgnoreCase
	Değer	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Grup 1'in Sonu
	Mantıksal işleç	'VEYA'
	Öznitelik kaynağı	Kaynak
	Öznitelik	Blob dizin etiketleri [Anahtar içindeki değerler]
	Anahtar	`sensitivity`
	Operatör	StringNotEquals
	Değer	`high`

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz. Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blobu Veri Okuyucusu rolü için bu koşulu ekleme burada açıklanmaktadır.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Sonraki adımlar

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2024-04-01

Aracılığıyla paylaş

Blob Depolama için örnek Azure rol atama koşulları

Önkoşullar

Bu makaledeki örneklerin özeti

Blob dizin etiketleri

Örnek: Blob dizin etiketiyle blobları okuma

Örnek: Yeni bloblar bir blob dizin etiketi içermelidir

Örnek: Mevcut blobların blob dizin etiketi anahtarları olmalıdır

Örnek: Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır

Blob kapsayıcı adları veya yolları

Örnek: Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme

Örnek: Adlandırılmış kapsayıcılardaki blobları belirtilen bir yol ile okuma

Örnek: Yolu olan adlandırılmış kapsayıcılardaki blobları okuma veya listeleme

Örnek: Adlandırılmış kapsayıcılara belirtilen yolla bloblar yazma

Örnek: Blob dizini etiketi ve bir yol ile blobları okuma

Blob kapsayıcılarının meta verileri

Örnek: Kapsayıcıdaki blobları belirli meta verilerle okuma

Örnek: Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme

Blob sürümleri veya blob anlık görüntüleri

Örnek: Yalnızca mevcut blob sürümlerini oku

Örnek: Geçerli blob sürümlerini ve belirli bir blob sürümünü okuma

Örnek: Eski blob sürümlerini silme

Örnek: Geçerli blob sürümlerini ve blob anlık görüntülerini okuyun

Örnek: Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver

Örnek: Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama

Hiyerarşik ad alanı

Örnek: Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları

Şifreleme kapsamı

Örnek: Belirli şifreleme kapsamlarına sahip blobları okuma

Örnek: Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma

Asıl öznitelikler

Örnek: Blob dizin etiketlerini ve özel güvenlik özniteliklerini temel alan blobları okuma veya yazma

Örnek: Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma

Ortam öznitelikleri

Örnek: Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme

Eylem ekle

İfade oluştur

Örnek: Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme

Eylem ekle

İfade oluştur

Örnek: Yüksek hassasiyete sahip okuma blobları için özel bağlantı erişimi gerektir

Eylem ekle

İfade oluştur

Örnek: Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme

Eylem ekle

İfade oluştur

Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver

Eylem ekle

İfade oluştur

Sonraki adımlar

Geri Bildirim

Ek kaynaklar