Delen via

Voorbeeld van Voorwaarden voor Azure-roltoewijzing voor Blob Storage

In dit artikel vindt u enkele voorbeelden van roltoewijzingsvoorwaarden voor het beheren van de toegang tot Azure Blob Storage.

Belangrijk

Op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) is algemeen beschikbaar (GA) voor het beheren van de toegang tot Azure Blob Storage, Azure Data Lake Storage Gen2 en Azure Queues met behulp van request, resourceen environmentprincipal kenmerken in de prestatielagen standard en Premium Storage-account. Op dit moment bevat de lijst-blob het aanvraagkenmerk en het momentopnameaanvraagkenmerk voor hiërarchische naamruimte in PREVIEW. Zie Status van voorwaardefuncties in Azure Storage voor volledige informatie over de functiestatus van ABAC voor Azure Storage.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereiste voorwaarden

Zie Voorwaarden voor informatie over de vereisten voor het toevoegen of bewerken van voorwaarden voor roltoewijzing.

Overzicht van voorbeelden in dit artikel

Gebruik de volgende tabel om snel een voorbeeld te vinden dat past bij uw ABAC-scenario. De tabel bevat een korte beschrijving van het scenario, plus een lijst met kenmerken die worden gebruikt in het voorbeeld per bron (omgeving, principal, aanvraag en resource).

Voorbeeld Milieu Schoolleider Aanvraag Hulpbron
Blobs lezen met een blob-index-tag etiketten
Nieuwe blobs moeten een blobindextag bevatten etiketten
Bestaande blobs moeten blob-indextagsleutels hebben etiketten
Bestaande blobs moeten een sleutel en waarden voor de blob-indextag hebben etiketten
Blobs lezen, schrijven of verwijderen in benoemde containers containernaam
Blobs uitlezen in benoemde containers via een pad containernaam
blobbaan
Blobs lezen of opsommen in benoemde containers via een pad blobvoorvoegsel containernaam
blobbaan
Blobs schrijven in benoemde containers met een specifiek pad containernaam
blobbaan
Blobs lezen met een blob-index-tag en een pad pad naar tags-blob
Blobs lezen in container met specifieke metagegevens containermetagegevens
Blobs schrijven of verwijderen in een container met specifieke metagegevens containermetagegevens
Alleen huidige blobversies lezen isCurrentVersion
Lees huidige blobversies en een specifieke blobversie versionId isCurrentVersion
Oude blobversies verwijderen versionId
Lees de huidige versies van blobs en eventuele momentopnamen van blobs momentopname isCurrentVersion
Lijstblobbewerking toestaan om blobmetagegevens, momentopnamen of versies op te nemen lijst-blob opnemen
Lijstblobbewerking beperken tot het niet opnemen van blobmetagegevens lijst-blob opnemen
Alleen-lezen opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld isHnsIngeschakeld
Blobs lezen met specifieke versleutelingsbereiken Naam van versleutelingsbereik
Blobs lezen of schrijven in benoemd opslagaccount met een specifiek versleutelingsbereik Naam
van versleutelingsbereik voor opslagaccount
Blobs lezen of schrijven op basis van blob-indextags en aangepaste beveiligingskenmerken ID-kaart etiketten etiketten
Blobs lezen op basis van blob-indextags en aangepaste beveiligingskenmerken met meerdere waarden ID-kaart etiketten
Leestoegang tot blobs toestaan na een specifieke datum en tijd UtcNow containernaam
Toegang tot blobs in specifieke containers vanuit een specifiek subnet toestaan Subnetwerk containernaam
Toegang tot private link vereisen om blobs met een hoge gevoeligheid te lezen isPrivateLink etiketten
Alleen toegang tot een container vanaf een specifiek privé-eindpunt toestaan Privé-eindpunt containernaam
Voorbeeld: Leestoegang tot zeer gevoelige blobgegevens alleen toestaan vanuit een specifiek privé-eindpunt en door gebruikers die zijn getagd voor toegang Privé-eindpunt ID-kaart etiketten

Blob-indextags

Deze sectie bevat voorbeelden van blobindextags.

Belangrijk

Hoewel de Read content from a blob with tag conditions suboperation momenteel wordt ondersteund voor compatibiliteit met voorwaarden die zijn geïmplementeerd tijdens de preview van de ABAC-functie, is deze afgeschaft en raadt Microsoft aan de Read a blob actie te gebruiken.

Wanneer u ABAC-voorwaarden configureert in de Azure-portal, ziet u mogelijk AFGESCHAFT: Inhoud lezen uit een blob met tagvoorwaarden. Microsoft raadt u aan de bewerking te verwijderen en deze te vervangen door de Read a blob actie.

Als u uw eigen voorwaarde ontwerpt waarmee u de leestoegang wilt beperken op basis van tagvoorwaarden, raadpleegt u Voorbeeld: blobs lezen met een blobindextag.

Voorbeeld: Blobs lezen met een blob-index-tag

Met deze voorwaarde kunnen gebruikers blobs lezen met een blob-indexlabel met de sleutel Project en de waarde Cascade. Pogingen om toegang te krijgen tot blobs zonder deze sleutelwaardetag is niet toegestaan.

Als u wilt dat deze voorwaarde effectief is voor een beveiligingsprincipaal, moet u deze toevoegen aan alle roltoewijzingen die de volgende acties bevatten:

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van conditie met leestoegang tot blobs met een blob-indexlabel.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual-editor van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode {keyName}
Bediener StringEquals
Waarde {keyValue}

Schermopname van voorwaarde-editor in Azure Portal met leestoegang tot blobs met een blobindextag.

Voorbeeld: Nieuwe blobs moeten een blobindextag bevatten

Deze voorwaarde vereist dat nieuwe blobs een sleutel 'Project' met een waarde 'Cascade' in de blob-indextag bevatten.

Er zijn twee acties waarmee u nieuwe blobs kunt maken, dus u moet beide bereiken. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten:

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van conditie met nieuwe blobs moet een blobindextag bevatten.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Schrijven naar een blob met blob-index-tags
Schrijven naar een blob met blob-index-tags
Kenmerkbron Aanvraag
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode {keyName}
Bediener StringEquals
Waarde {keyValue}

Schermopname van voorwaarde-editor in Azure Portal met nieuwe blobs moet een blob-indextag bevatten.

Voorbeeld: bestaande blobs moeten blob-indextagsleutels hebben

Deze voorwaarde vereist dat bestaande blobs worden gelabeld met ten minste één van de toegestane blob-indextagsleutels : Project of Program. Deze voorwaarde is handig voor het toevoegen van governance aan bestaande blobs.

Er zijn twee acties waarmee u tags op bestaande blobs kunt bijwerken, dus u moet zich op beide richten. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten:

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van de status met bestaande blobs moet blobindextagsleutels bevatten.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Schrijven naar een blob met blob-index-tags
Blob-indextags schrijven
Kenmerkbron Aanvraag
Kenmerk Blob-index tags [Sleutels]
Bediener ForAllOfAnyValues:StringEquals
Waarde {keyName1}
{keyName2}

Schermopname van voorwaarde-editor in Azure Portal met bestaande blobs moet blob-indextagsleutels hebben.

Voorbeeld: Bestaande blobs moeten een sleutel en waarden voor de blob-index tag hebben.

Voor deze voorwaarde is vereist dat bestaande blobs een blob-indextagsleutel hebben van Project en waarden van Cascade, Baker of Skagit. Deze voorwaarde is handig voor het toevoegen van governance aan bestaande blobs.

Er zijn twee acties waarmee u tags op bestaande blobs kunt bijwerken, dus u moet zich op beide richten. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van de toestand dat bestaande blobs een blob-indextagsleutel en waarden moeten hebben.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Schrijven naar een blob met blob-index-tags
Blob-indextags schrijven
Kenmerkbron Aanvraag
Kenmerk Blob-index tags [Sleutels]
Bediener ForAnyOfAnyValues:StringEquals
Waarde {keyName}
Bediener En
Expressie 2
Kenmerkbron Aanvraag
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode {keyName}
Bediener ForAllOfAnyValues:StringEquals
Waarde {keyValue1}
{keyValue2}
{keyValue3}

Schermopname van voorwaarde-editor in Azure Portal met bestaande blobs moet een sleutel en waarden voor de blob-indextag hebben.

Namen of paden van blobcontainers

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van de containernaam of het blobpad.

Voorbeeld: Blobs lezen, schrijven of verwijderen in benoemde containers

Met deze voorwaarde kunnen gebruikers blobs lezen, schrijven of verwijderen in opslagcontainers met de naam blobs-example-container. Deze voorwaarde is handig voor het delen van specifieke opslagcontainers met andere gebruikers in een abonnement.

Er zijn vijf acties voor het lezen, schrijven en verwijderen van bestaande blobs. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.
Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

Suboperations worden niet in deze voorwaarde gebruikt omdat de suboperation alleen nodig is wanneer voorwaarden zijn gemaakt op basis van tags.

Diagram van voorwaarde met blobs voor lezen, schrijven of verwijderen in benoemde containers.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob verwijderen
Een blob lezen
Schrijven naar een blob
Een blob of momentopname maken of gegevens toevoegen
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde {containerName}

Schermopname van voorwaarde-editor in Azure Portal met blobs lezen, schrijven of verwijderen in benoemde containers.

Voorbeeld: Blobs lezen in benoemde containers met een pad

Met deze voorwaarde heeft u leestoegang tot opslagcontainers met de naam blobs-example-container met een blobpad van readonly/*. Deze voorwaarde is handig voor het delen van specifieke onderdelen van opslagcontainers voor leestoegang met andere gebruikers in het abonnement.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.
Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

Diagram van voorwaarde met leestoegang tot blobs in benoemde containers met een pad.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde {containerName}
Expressie 2
Bediener En
Kenmerkbron Hulpbron
Kenmerk Blobpad
Bediener StringLike
Waarde {pathString}

Schermopname van de voorwaarde-editor in Azure Portal met leestoegang tot blobs in benoemde containers met een pad.

Voorbeeld: Blobs lezen of vermelden in benoemde containers met een pad

Deze voorwaarde staat leestoegang en lijsttoegang toe tot opslagcontainers met de naam blobs-example-container met een blobpad van readonly/*. Voorwaarde 1 is van toepassing op leesacties, met uitzondering van lijst-blobs. Voorwaarde 2 is van toepassing op lijst-blobs. Deze voorwaarde is handig voor het delen van specifieke onderdelen van opslagcontainers voor lees- of lijsttoegang met andere gebruikers in het abonnement.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.
Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

Diagram van conditie dat lees- en lijsttoegang tot blobs in benoemde containers met een pad toont.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Opmerking

Azure Portal maakt gebruik van voorvoegsel='' om blobs uit de hoofdmap van de container weer te geven. Nadat de voorwaarde is toegevoegd met de lijst-blobs-bewerking met het voorvoegsel StringStartsWith 'readonly/', kunnen gerichte gebruikers geen blobs weergeven uit de hoofdmap van de container in het Azure-portaal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde {containerName}
Expressie 2
Bediener En
Kenmerkbron Hulpbron
Kenmerk Blobpad
Bediener `StringStartsWith`
Waarde {pathString}
Voorwaarde 2 Omgeving
Acties Blobs oplijsten
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde {containerName}
Expressie 2
Bediener En
Kenmerkbron Aanvraag
Kenmerk Blobvoorvoegsel
Bediener `StringStartsWith`
Waarde {pathString}

Voorbeeld: Blobs schrijven in benoemde containers met een pad

Met deze voorwaarde kan een partner (een Gastgebruiker van Microsoft Entra) bestanden neerzetten in opslagcontainers met de naam Contosocorp met een pad naar uploads/contoso/*. Deze voorwaarde is handig voor het toestaan van andere gebruikers om gegevens in opslagcontainers te plaatsen.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.
Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

Diagram van voorwaarde met schrijftoegang tot blobs in benoemde containers met een pad.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Schrijven naar een blob
Een blob of momentopname maken of gegevens toevoegen
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde {containerName}
Expressie 2
Bediener En
Kenmerkbron Hulpbron
Kenmerk Blobpad
Bediener StringLike
Waarde {pathString}

Schermopname van voorwaarde-editor in Azure Portal met schrijftoegang tot blobs in benoemde containers met een pad.

Voorbeeld: Blobs lezen met een blobindex-tag en een pad

Met deze voorwaarde kan een gebruiker blobs lezen met een blob-indextagsleutel van Program, een waarde van Alpine en een blobpad van logboeken*. Het blobpad van logboeken* bevat ook de blobnaam.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van de voorwaarde die leestoegang tot blobs met een blobindextag en een pad toont.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode {keyName}
Bediener StringEquals
Waarde {keyValue}

Schermopname van de editor van Voorwaarde 1 in Azure Portal met leestoegang tot blobs met een blobindextag en een pad.

Voorwaarde 2 Omgeving
Acties Een blob lezen
Kenmerkbron Hulpbron
Kenmerk Blobpad
Bediener StringLike
Waarde {pathString}

Schermopname van voorwaarde 2-editor in Azure Portal met leestoegang tot blobs met een blobindextag en een pad.

Metagegevens van blobcontainer

Voorbeeld: Blobs lezen in container met specifieke metagegevens

Met deze voorwaarde kunnen gebruikers blobs lezen in blobcontainers met een specifieke metagegevenssleutel/waardepaar.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Kenmerkbron Hulpbron
Kenmerk Containermetagegevens
Bediener StringEquals
Waarde {containerName}

Schermopname van voorwaarde-editor in Azure Portal met lees-blob in container met specifieke metagegevens.

Voorbeeld: Blobs schrijven of verwijderen in een container met specifieke metagegevens

Met deze voorwaarde kunnen gebruikers blobs schrijven of verwijderen in blobcontainers met een specifieke sleutel/waardepaar met metagegevens.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Schrijven naar een blob
Een blob verwijderen
Kenmerkbron Hulpbron
Kenmerk Containermetagegevens
Bediener StringEquals
Waarde {containerName}

Schermopname van voorwaarde-editor in Azure Portal met blob schrijven en verwijderen in container met specifieke metagegevens.

Blobversies of blobmomentopnamen

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van de blobversie of momentopname.

Voorbeeld: Alleen de huidige blobversies lezen

Met deze voorwaarde kan een gebruiker alleen huidige blobversies lezen. De gebruiker kan geen andere blobversies lezen.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van de voorwaarde die alleen leestoegang toont tot de huidige blobversie.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Hulpbron
Kenmerk Is de huidige versie
Bediener BoolEquals
Waarde Klopt

Voorbeeld: huidige blobversies en een specifieke blobversie lezen

Met deze voorwaarde kan een gebruiker de huidige blobversies lezen en blobs lezen met een versie-id van 2022-06-01T23:38:32.8883645Z. De gebruiker kan geen andere blobversies lezen. Het kenmerk Versie-id is alleen beschikbaar voor opslagaccounts waarvoor hiërarchische naamruimte niet is ingeschakeld.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Diagram van de voorwaarde die leestoegang toont tot een specifieke blobversie.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Kenmerkbron Aanvraag
Kenmerk Versie-id
Bediener DateTimeEquals
Waarde <blobVersionId>
Expressie 2
Bediener Of
Kenmerkbron Hulpbron
Kenmerk Is de huidige versie
Bediener BoolEquals
Waarde Klopt

Voorbeeld: Oude blobversies verwijderen

Met deze voorwaarde kan een gebruiker versies van een blob verwijderen die ouder zijn dan 06/01/2022 om opschoning uit te voeren. Het kenmerk Versie-id is alleen beschikbaar voor opslagaccounts waarvoor hiërarchische naamruimte niet is ingeschakeld.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

Diagram van voorwaarde waarin verwijdertoegang tot oude blobversies wordt weergegeven.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob verwijderen
Een versie van een blob verwijderen
Kenmerkbron Aanvraag
Kenmerk Versie-id
Bediener DateTimeLessThan
Waarde <blobVersionId>

Voorbeeld: huidige blobversies en eventuele blobmomentopnamen lezen

Met deze voorwaarde kan een gebruiker de huidige blobversies en eventuele blobmomentopnamen lezen. Het kenmerk Versie-id is alleen beschikbaar voor opslagaccounts waarvoor hiërarchische naamruimte niet is ingeschakeld. Het kenmerk Momentopname is beschikbaar voor opslagaccounts waarvoor de hiërarchische naamruimte niet is ingeschakeld en is momenteel in de previewfase voor opslagaccounts waarvoor de hiërarchische naamruimte wel is ingeschakeld.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van situatie met leestoegang tot actuele blobversies en alle aanwezige blob-momentopnamen.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Aanvraag
Kenmerk Momentopname
Bestaat Gecontroleerd
Expressie 2
Bediener Of
Kenmerkbron Hulpbron
Kenmerk Is de huidige versie
Bediener BoolEquals
Waarde Klopt

Voorbeeld: Lijstblobbewerking toestaan om blobmetagegevens, momentopnamen of versies op te nemen

Met deze voorwaarde kan een gebruiker blobs in een container vermelden en metagegevens, momentopnamen en versiegegevens opnemen. Het kenmerk Lijst-blobs bevatten is beschikbaar voor opslagaccounts waarbij hiërarchische naamruimte niet is ingeschakeld.

Opmerking

List blobs include is een aanvraagkenmerk en werkt door waarden in de include-parameter toe te staan of te beperken bij het aanroepen van de List Blobs-bewerking. De waarden in de include parameter worden vergeleken met de waarden die zijn opgegeven in de voorwaarde met behulp van vergelijkingsoperatoren voor meerdere producten. Als de vergelijking waar oplevert, is de List Blobs aanvraag toegestaan. Als de vergelijking resulteert in onwaar, wordt de List Blobs aanvraag geweigerd.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Blobs oplijsten
Kenmerkbron Aanvraag
Kenmerk Lijst-blobs bevatten
Bediener ForAllOfAnyValues:StringEqualsIgnoreCase
Waarde {'metadata', 'instantopnamen', 'versies'}

Schermopname van voorwaardeeditor in Azure Portal met een voorwaarde waarmee een gebruiker blobs in een container kan vermelden en metagegevens, momentopnamen en versiegegevens kan opnemen.

Voorbeeld: Lijstblobbewerking beperken tot het niet opnemen van blobmetagegevens

Deze voorwaarde beperkt een gebruiker om blobs weer te geven wanneer metagegevens in de aanvraag worden opgenomen. Het kenmerk Lijst-blobs bevatten is beschikbaar voor opslagaccounts waarbij hiërarchische naamruimte niet is ingeschakeld.

Opmerking

List blobs include is een aanvraagkenmerk en werkt door waarden in de include-parameter toe te staan of te beperken bij het aanroepen van de List Blobs-bewerking. De waarden in de include parameter worden vergeleken met de waarden die zijn opgegeven in de voorwaarde met behulp van vergelijkingsoperatoren voor meerdere producten. Als de vergelijking waar oplevert, is de List Blobs aanvraag toegestaan. Als de vergelijking resulteert in onwaar, wordt de List Blobs aanvraag geweigerd.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Blobs oplijsten
Kenmerkbron Aanvraag
Kenmerk Lijst-blobs bevatten
Bediener ForAllOfAllValues:StringNotEquals
Waarde {'metadata'}

Schermopname van voorwaarde-editor in Azure Portal met een voorwaarde om te beperken dat een gebruiker blobs weergeeft wanneer metagegevens in de aanvraag worden opgenomen.

Hiërarchische naamruimte

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van of hiërarchische naamruimte is ingeschakeld voor een opslagaccount.

Voorbeeld: Alleen-lezen opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld

Met deze voorwaarde kan een gebruiker alleen blobs lezen in opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld. Deze voorwaarde is alleen van toepassing op een resourcegroepniveau of hoger.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van voorwaarde met leestoegang tot opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron Hulpbron
Kenmerk Is hiërarchische naamruimte ingeschakeld
Bediener BoolEquals
Waarde Klopt

Versleutelingsbereik

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten met een goedgekeurd versleutelingsbereik kunt beperken.

Voorbeeld: Blobs lezen met specifieke versleutelingsbereiken

Met deze voorwaarde kan een gebruiker blobs lezen die zijn versleuteld met versleutelingsbereik validScope1 of validScope2.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Diagram van voorwaarde met leestoegang tot blobs met versleutelingsbereik validScope1 of validScope2.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Kenmerkbron Hulpbron
Kenmerk Naam van versleutelingsbereik
Bediener ForAnyOfAnyValues:StringEquals
Waarde <scopeName>

Voorbeeld: Blobs lezen of schrijven in benoemd opslagaccount met een specifiek versleutelingsbereik

Met deze voorwaarde kan een gebruiker blobs lezen of schrijven in een opslagaccount met de naam sampleaccount en versleuteld met versleutelingsbereik ScopeCustomKey1. Als blobs niet zijn versleuteld of ontsleuteld met ScopeCustomKey1, resulteert de aanvraag in een 'verboden' melding.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Opmerking

Omdat versleutelingsbereiken voor verschillende opslagaccounts kunnen verschillen, is het raadzaam om het storageAccounts:name kenmerk te gebruiken met het encryptionScopes:name kenmerk om het specifieke versleutelingsbereik te beperken dat is toegestaan.

Diagram van voorwaarde met lees- of schrijftoegang tot blobs in sampleaccount-opslagaccount met versleutelingsbereik ScopeCustomKey1.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Een blob lezen
Schrijven naar een blob
Een blob of momentopname maken of gegevens toevoegen
Kenmerkbron Hulpbron
Kenmerk accountnaam
Bediener StringEquals
Waarde <accountnaam>
Expressie 2
Bediener En
Kenmerkbron Hulpbron
Kenmerk Naam van versleutelingsbereik
Bediener VoorElkVanElkeWaarden:StringGelijkAan
Waarde <scopeName>

Principal-kenmerken

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten kunt beperken op basis van aangepaste beveiligingsprinciplen.

Voorbeeld: Blobs lezen of schrijven op basis van blob-indextags en aangepaste beveiligingskenmerken

Met deze voorwaarde is lees- of schrijftoegang tot blobs toegestaan als de gebruiker een aangepast beveiligingskenmerk heeft dat overeenkomt met de blob-indextag.

Als Brenda bijvoorbeeld het kenmerk Project=Bakerheeft, kan ze alleen blobs lezen of schrijven met de Project=Baker blob-indextag. Op dezelfde manier kan Chandra alleen blobs lezen of schrijven met Project=Cascade.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Zie Leestoegang tot blobs toestaan op basis van tags en aangepaste beveiligingskenmerken voor meer informatie.

Diagram van voorwaarde met lees- of schrijftoegang tot blobs op basis van blobindextags en aangepaste beveiligingskenmerken.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Lees de voorwaarden voor een blob
Kenmerkbron Voornaamste
Kenmerk <attributenset>_<sleutel>
Bediener StringEquals
Optie Kenmerk
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode <sleutel>
Voorwaarde 2 Omgeving
Acties Schrijven naar een blob met blob-index-tags
Schrijven naar een blob met blob-index-tags
Kenmerkbron Voornaamste
Kenmerk <attributenset>_<sleutel>
Bediener StringEquals
Optie Kenmerk
Kenmerkbron Aanvraag
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode <sleutel>

Voorbeeld: Blobs lezen op basis van blobindextags en aangepaste beveiligingskenmerken met meerdere waarden

Met deze voorwaarde is leestoegang tot blobs toegestaan als de gebruiker een aangepast beveiligingskenmerk heeft met waarden die overeenkomen met de blobindextag.

Als Chandra bijvoorbeeld het kenmerk Project heeft met de waarden Baker en Cascade, kan ze alleen blobs lezen met de Project=Baker of Project=Cascade blob-indextag.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Zie Leestoegang tot blobs toestaan op basis van tags en aangepaste beveiligingskenmerken voor meer informatie.

Diagram van voorwaarde met leestoegang tot blobs op basis van blob-indextags en aangepaste beveiligingskenmerken met meerdere waarden.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1 Omgeving
Acties Lees de voorwaarden voor een blob
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode <sleutel>
Bediener ForAnyOfAnyValues:StringEquals
Optie Kenmerk
Kenmerkbron Voornaamste
Kenmerk <attributenset>_<sleutel>

Omgevingskenmerken

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van de netwerkomgeving of de huidige datum en tijd.

Voorbeeld: Leestoegang tot blobs toestaan na een specifieke datum en tijd

Met deze voorwaarde is leestoegang tot blobcontainer container1 pas na 1 uur 's middags op 1 mei 2023 Universal Coordinated Time (UTC) toegestaan.

Er zijn twee mogelijke acties voor het lezen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de suboperation Een blob lezen , zoals wordt weergegeven in de volgende tabel.

Handeling Deeloperatie
Alle leesbewerkingen Een blob lezen

Selecteer niet de actie Alle leesbewerkingen of andere subbewerkingen op het hoogste niveau, zoals wordt weergegeven in de volgende afbeelding:

Schermopname van de voorwaarde-editor in Azure Portal met de selectie van alleen de leesbewerking.

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Omgeving Waarde
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde container1
Logische operator 'AND'
Kenmerkbron Omgeving
Kenmerk UtcNow
Bediener DateTimeGreaterThan
Waarde 2023-05-01T13:00:00.000Z

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Schermopname van de voorwaardeeditor in Azure Portal met leestoegang die is toegestaan na een specifieke datum en tijd.

Voorbeeld: Toegang tot blobs in specifieke containers vanuit een specifiek subnet toestaan

Met deze voorwaarde kunt u alleen lees-, schrijf-, toevoeg- en verwijdertoegang tot blobs in container1 een subnet default in het virtuele netwerk virtualnetwork1toestaan. Als u het subnetkenmerk in dit voorbeeld wilt gebruiken, moet voor het subnet service-eindpunten zijn ingeschakeld voor Azure Storage.

Er zijn vijf mogelijke acties voor lees-, schrijf-, toevoeg- en verwijdertoegang tot bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de acties op het hoogste niveau die worden weergegeven in de volgende tabel.

Handeling Deeloperatie
Alle leesbewerkingen n.v.t
Schrijven naar een blob n.v.t
Een blob of momentopname maken of gegevens toevoegen n.v.t
Een blob verwijderen n.v.t

Selecteer geen afzonderlijke subbewerkingen, zoals wordt weergegeven in de volgende afbeelding.

Schermopname van voorwaarde-editor in Azure Portal met de selectie van lees-, schrijf-, toevoeg- en verwijderbewerkingen.

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Omgeving Waarde
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde container1
Logische operator 'AND'
Kenmerkbron Omgeving
Kenmerk Subnet
Bediener StringEqualsIgnoreCase
Waarde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Schermopname van de voorwaarde-editor in Azure Portal met leestoegang tot specifieke containers die zijn toegestaan vanuit een specifiek subnet.

Voor deze voorwaarde moeten aanvragen voor het lezen van blobs worden behandeld waarbij de vertrouwelijkheid van de blob-indextag een waarde heeft van high, en dit moet plaatsvinden via een privékoppeling (een willekeurige privékoppeling). Dit betekent dat alle pogingen om zeer gevoelige blobs van het openbare internet te lezen, niet worden toegestaan. Gebruikers kunnen blobs lezen van het openbare internet waarvoor gevoeligheid is ingesteld op een andere waarde dan high.

Een waarheidstabel voor deze ABAC-voorbeeldvoorwaarde volgt:

Actie Gevoeligheid Privékoppeling Toegang
Een blob lezen hoog Ja Toegestaan
Een blob lezen hoog Nee. Niet toegestaan
Een blob lezen NIET hoog Ja Toegestaan
Een blob lezen NIET hoog Nee. Toegestaan

Er zijn twee mogelijke acties voor het lezen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual condition editor in Azure Portal.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de suboperation Een blob lezen , zoals wordt weergegeven in de volgende tabel.

Handeling Deeloperatie
Alle leesbewerkingen Een blob lezen

Selecteer niet de bovenliggende actie Alle leesbewerkingen van om het even welke andere subbewerkingen, zoals weergegeven in de volgende afbeelding:

Schermopname van de voorwaarde-editor in Azure Portal met de selectie van alleen de leesbewerking.

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Groep Omgeving Waarde
Groep 1
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode sensitivity
Bediener StringEquals
Waarde high
Logische operator 'EN'
Kenmerkbron Omgeving
Kenmerk Is privékoppeling
Bediener BoolEquals
Waarde True
Einde van groep 1
Logische operator 'OF'
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode sensitivity
Bediener StringNotEquals
Waarde high

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Schermopname van de voorwaarde-editor in Azure Portal met leestoegang waarvoor een privékoppeling voor gevoelige gegevens is vereist.

Voorbeeld: Alleen toegang tot een container vanaf een specifiek privé-eindpunt toestaan

Deze voorwaarde vereist dat alle lees-, schrijf-, toevoeg- en verwijderbewerkingen voor blobs in een opslagcontainer met de naam container1 worden gemaakt via een privé-eindpunt met de naam privateendpoint1. Voor alle andere containers die geen naam hebben container1, hoeft de toegang niet via het privé-eindpunt te worden uitgevoerd.

Er zijn vijf mogelijke acties voor het lezen, schrijven en verwijderen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.
Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual condition editor in Azure Portal.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de acties op het hoogste niveau die worden weergegeven in de volgende tabel.

Handeling Deeloperatie
Alle leesbewerkingen n.v.t
Schrijven naar een blob n.v.t
Een blob of momentopname maken of gegevens toevoegen n.v.t
Een blob verwijderen n.v.t

Selecteer geen afzonderlijke subbewerkingen, zoals wordt weergegeven in de volgende afbeelding.

Schermopname van voorwaarde-editor in Azure Portal met de selectie van lees-, schrijf-, toevoeg- en verwijderbewerkingen.

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Groep Omgeving Waarde
Groep 1
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringEquals
Waarde container1
Logische operator 'EN'
Kenmerkbron Omgeving
Kenmerk Privé-eindpunt
Bediener StringEqualsIgnoreCase
Waarde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Einde van groep 1
Logische operator 'OF'
Kenmerkbron Hulpbron
Kenmerk Containernaam
Bediener StringNotEquals
Waarde container1

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Schermopname van voorwaarde-editor in Azure Portal met blobs lezen, schrijven of verwijderen in benoemde containers met het kenmerk privé-eindpuntomgeving.

Voorbeeld: Leestoegang tot zeer gevoelige blobgegevens alleen toestaan vanuit een specifiek privé-eindpunt en door gebruikers die zijn getagd voor toegang

Deze voorwaarde vereist dat blobs met de indextag gevoeligheid die is ingesteld op high alleen kunnen worden gelezen door gebruikers die een overeenkomende waarde hebben voor hun gevoeligheidsbeveiligingskenmerk. Daarnaast moeten ze worden geopend via een privé-eindpunt met de naam privateendpoint1. Blobs met een andere waarde voor de vertrouwelijkheidstag kunnen worden geopend via andere eindpunten of internet.

Er zijn twee mogelijke acties voor het lezen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Handeling Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual condition editor in Azure Portal.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de suboperation Een blob lezen , zoals wordt weergegeven in de volgende tabel.

Handeling Deeloperatie
Alle leesbewerkingen Een blob lezen

Selecteer de actie op het hoogste niveau niet, zoals wordt weergegeven in de volgende afbeelding:

Schermopname van de voorwaarde-editor in het Azure-portaal met de selectie van de bewerking lezen van een blob.

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Groep Omgeving Waarde
Groep 1
Kenmerkbron Voornaamste
Kenmerk <attributenset>_<sleutel>
Bediener StringEquals
Optie Kenmerk
Logische operator 'EN'
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode <sleutel>
Logische operator 'EN'
Kenmerkbron Omgeving
Kenmerk Privé-eindpunt
Bediener StringEqualsIgnoreCase
Waarde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Einde van groep 1
Logische operator 'OF'
Kenmerkbron Hulpbron
Kenmerk Blob-indextags [Waarden in sleutel]
Sleutelcode sensitivity
Bediener StringNotEquals
Waarde high

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Schermopname van voorwaarde-editor in Azure Portal met leestoegang die is toegestaan via een specifiek privé-eindpunt voor getagde gebruikers.

Volgende stappen