Пример условий назначения ролей Azure для хранилища BLOB-объектов

2024-04-01

В этой статье перечислены некоторые примеры условий назначения ролей для управления доступом к хранилищу BLOB-объектов Azure.

Это важно

Управление доступом на основе атрибутов Azure (Azure ABAC) общедоступно для управления доступом к хранилищу BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения и очередям Azure с помощью request, resource, environment и principal атрибутов на стандартных и премиум уровнях производительности учетной записи хранилища. В настоящее время блоб списка включает атрибут запроса и атрибут запроса моментального снимка для иерархического пространства имен, которые находятся в предварительной версии. Полные сведения о состоянии функции ABAC для службы хранилища Azure см. в разделе «Состояние функций условий в хранилище Azure».

Ознакомьтесь с Дополнительными условиями использования для предварительных версий Microsoft Azure, чтобы узнать юридические условия, применимые к функциям Azure, которые находятся в статусе бета, предварительного просмотра или иначе еще не выпущены в общий доступ.

Предпосылки

Дополнительные сведения о предварительных требованиях для добавления и изменения условий назначения ролей см. в разделе Требования к условиям.

Сводка примеров в этой статье

Используйте следующую таблицу, чтобы быстро найти пример, соответствующий сценарию ABAC. Таблица содержит краткое описание сценария, а также список атрибутов, используемых в примере по источнику (среда, субъект, запрос и ресурс).

Пример	Окружающая среда	Директор	Просьба	Ресурс
Чтение BLOB-объектов с тегом индекса BLOB-объектов				Теги
Новые большие двоичные объекты должны содержать тег индекса BLOB-объектов			Теги
Существующие большие двоичные объекты должны иметь ключи тега индекса BLOB-объектов			Теги
Существующие большие двоичные объекты должны иметь ключ и значения тега индекса BLOB-объектов			Теги
Чтение, запись или удаление больших двоичных объектов в именованных контейнерах				имя контейнера
Чтение больших двоичных объектов в именованных контейнерах с помощью пути				Путь к большому двоичному объекту имени контейнера
Чтение или перечисление больших двоичных объектов в именованных контейнерах с помощью пути			Префикс большого двоичного объекта	Путь к большому двоичному объекту имени контейнера
Запись больших двоичных объектов в именованных контейнерах с помощью пути				Путь к большому двоичному объекту имени контейнера
Чтение больших двоичных объектов с тегом индекса BLOB-объектов и путем				Путь к BLOB-объектам тегов
Чтение больших двоичных объектов в контейнере с определенными метаданными				метаданные контейнера
Запись или удаление больших двоичных объектов в контейнере с определенными метаданными				метаданные контейнера
Чтение только текущих версий BLOB-объектов				isCurrentVersion
Чтение текущих версий BLOB-объектов и определенной версии большого двоичного объекта			versionId	isCurrentVersion
Удаление старых версий BLOB-объектов			versionId
Чтение текущих версий BLOB-объектов и любых моментальных снимков BLOB-объектов			снимок	isCurrentVersion
Разрешить операции списка BLOB-объектов включать метаданные, моментальные снимки или версии большого двоичного объекта			Список BLOB-объектов:
Ограничение операции с большим двоичным объектом списка, чтобы не включать метаданные БОЛЬШОго двоичного объекта			Список BLOB-объектов:
Чтение только учетных записей хранения с включенным иерархическим пространством имен				isHnsEnabled
Чтение больших двоичных объектов с определенными областями шифрования				Имя области шифрования
Чтение или запись БОЛЬШИХ двоичных объектов в именованной учетной записи хранения с определенной областью шифрования				Имя области шифрования учетной записи хранения
Чтение или запись БОЛЬШИХ двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности		Идентификатор	Теги	Теги
Чтение больших двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности с несколькими значениями		Идентификатор		Теги
Разрешить доступ на чтение к BLOB-объектам после определенной даты и времени	UtcNow			имя контейнера
Разрешить доступ к blob-объектам в определенных контейнерах из определенной подсети	Подсеть			имя контейнера
Требовать доступ к большим двоичным объектам с высокой степенью конфиденциальности для приватного канала	isPrivateLink			Теги
Разрешить доступ к контейнеру только из определенной частной конечной точки	Частная конечная точка			имя контейнера
Пример. Разрешить доступ для чтения к конфиденциальным данным BLOB-объектов только из конкретной частной конечной точки и пользователями, помеченными для доступа	Частная конечная точка	Идентификатор		Теги

Теги индекса для BLOB-объектов

В этом разделе содержатся примеры с тегами индекса BLOB-объектов.

Это важно

Несмотря на Read content from a blob with tag conditions то, что в настоящее время субоперация поддерживается для совместимости с условиями, реализованными во время предварительной версии функций ABAC, она не рекомендуется использовать Read a blob действие.

При настройке условий ABAC в портал Azure может появиться сообщение DEPRECATED: чтение содержимого из большого двоичного объекта с условиями тега. Корпорация Майкрософт рекомендует удалить операцию и заменить ее действием Read a blob .

Если вы создаете собственное условие для ограничения доступа на чтение с помощью условий тега, ознакомьтесь с разделом Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов.

Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов

Это условие позволяет пользователям считывать большие двоичные объекты с ключом тега индекса БОЛЬШОго двоичного объекта Project и значением Каскада. Попытки доступа к BLOB-объектам без этого тега "ключ-значение" не допускаются.

Чтобы это условие было эффективным для субъекта безопасности, необходимо добавить его ко всем назначениям ролей, которые включают следующие действия:

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая доступ на чтение к BLOB-объектам с тегом индекса BLOB-объектов.

Условие можно добавить в назначение ролей с помощью портала Azure или Azure PowerShell. На портале есть два средства для создания условий ABAC — визуального редактора и редактора кода. Вы можете переключаться между двумя редакторами на портале Azure, чтобы просмотреть условия в разных представлениях. Перейдите между вкладкой "Визуальный редактор" и вкладками редактора кода , чтобы просмотреть примеры для предпочтительного редактора портала.

Ниже приведены параметры для добавления этого условия с помощью визуального редактора портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Свойство	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	StringEquals
Ценность	{keyValue}

Чтобы добавить условие с помощью редактора кода, скопируйте пример кода условия и вставьте его в редактор кода. После ввода кода вернитесь в визуальный редактор, чтобы проверить его.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются по выражению, которое проверяет тег индекса BLOB-объектов.

Если пользователь пытается выполнить действие в назначенной роли, которая не ограничена условием, оценивается как true, !(ActionMatches) а общее условие оценивается как true. Этот результат позволяет выполнить действие.

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Пример. Новые большие двоичные объекты должны содержать тег индекса BLOB-объектов.

Для этого условия требуется, чтобы все новые большие двоичные объекты включали ключ тега индекса BLOB-объектов Project и значение Каскада.

Существует два действия, которые позволяют создавать большие двоичные объекты, поэтому их необходимо использовать для обоих. Это условие необходимо добавить к любым назначениям ролей, которые включают одно из следующих действий:

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая новые большие двоичные объекты, должна содержать тег индекса BLOB-объектов.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись в большой двоичный объект с тегами индекса BLOB-объектов
Источник атрибута	Просьба
Свойство	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	StringEquals
Ценность	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Пример. Существующие большие двоичные объекты должны иметь ключи тега индекса BLOB-объектов

Для этого условия требуется, чтобы все существующие большие двоичные объекты были помечены по крайней мере одним из разрешенных ключей тегов индекса BLOB-объектов : Project или Program. Это условие полезно для добавления управления в существующие большие двоичные объекты.

Существует два действия, которые позволяют обновлять теги в существующих больших двоичных объектах, поэтому их необходимо использовать для обоих. Это условие необходимо добавить к любым назначениям ролей, которые включают одно из следующих действий:

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая существующие BLOB-объекты, должны иметь ключи тега индекса BLOB-объектов.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись тегов индекса BLOB-объектов
Источник атрибута	Просьба
Свойство	Теги индекса BLOB-объектов [Ключи]
Оператор	ForAllOfAnyValues:StringEquals
Ценность	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Пример. Существующие большие двоичные объекты должны иметь ключ и значения тега индекса BLOB-объектов.

Для этого условия требуется, чтобы все существующие большие двоичные объекты имели ключ тега индекса BLOB-объектов для Проекта и значений Каскада, Бейкера или Скагита. Это условие полезно для добавления управления в существующие большие двоичные объекты.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая существующие большие двоичные объекты, должна иметь ключ и значения тега индекса BLOB-объектов.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись тегов индекса BLOB-объектов
Источник атрибута	Просьба
Свойство	Теги индекса BLOB-объектов [Ключи]
Оператор	ForAnyOfAnyValues:StringEquals
Ценность	{keyName}
Оператор	И
Expression 2
Источник атрибута	Просьба
Свойство	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	ForAllOfAnyValues:StringEquals
Ценность	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Имена или пути контейнера BLOB-объектов

В этом разделе приведены примеры ограничения доступа к объектам на основе имени контейнера или пути к BLOB-объектам.

Пример: чтение, запись или удаление БОЛЬШИХ двоичных объектов в именованных контейнерах

Это условие позволяет пользователям читать, записывать или удалять большие двоичные объекты в контейнерах хранилища с именем blobs-example-container. Это условие полезно для совместного использования определенных контейнеров хранилища с другими пользователями в подписке.

Существует пять действий для чтения, записи и удаления существующих BLOB-объектов. Это условие необходимо добавить к любым назначениям ролей, которые включают одно из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища. Добавьте, если учетные записи хранения, включенные в это условие, включены иерархическое пространство имен или могут быть включены в будущем.

Вложенные операции не используются в этом условии, так как подоперция необходима только в том случае, если условия создаются на основе тегов.

Схема условия, показывающая чтение, запись или удаление больших двоичных объектов в именованных контейнерах.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Удаление большого двоичного объекта Чтение большого двоичного объекта Запись в большой двоичный объект Создание большого двоичного объекта или моментального снимка или добавление данных Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Свойство	Имя контейнера
Оператор	StringEquals
Ценность	{containerName}

Администратор данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Сотрудник по работе с BLOB-данными хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Пример. Чтение больших двоичных объектов в именованных контейнерах с помощью пути

Это условие позволяет получить доступ на чтение к контейнерам хранилища с именем blobs-example-container с путем чтения blob-объектов/*. Это условие полезно для совместного использования определенных частей контейнеров хранилища для доступа на чтение с другими пользователями в подписке.

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.
Добавьте, если учетные записи хранения, включенные в это условие, включены иерархическое пространство имен или могут быть включены в будущем.

Схема условия, показывающая доступ на чтение больших двоичных объектов в именованных контейнерах с помощью пути.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Свойство	Имя контейнера
Оператор	StringEquals
Ценность	{containerName}
Expression 2
Оператор	И
Источник атрибута	Ресурс
Свойство	Путь к BLOB-объектам
Оператор	StringLike
Ценность	{pathString}

Администратор данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Средство чтения данных BLOB-объектов хранилища, участник данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция списка БОЛЬШИХ двоичных объектов разрешена, но все остальные действия чтения оцениваются в выражении, которое проверяет имя контейнера и путь.

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Пример. Чтение или перечисление больших двоичных объектов в именованных контейнерах с помощью пути

Это условие позволяет получить доступ для чтения и получить доступ к контейнерам хранилища с именем blobs-example-container с путем чтения blob-объектов/*. Условие #1 применяется к действиям чтения, за исключением больших двоичных объектов списка. Условие 2 применяется к большим двоичным объектам списка. Это условие полезно для совместного использования определенных частей контейнеров хранилища для доступа к чтению или списку с другими пользователями в подписке.

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Схема условия, показывающая доступ к большим двоичным объектам и списку в именованных контейнерах с путем.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Замечание

Портал Azure использует префикс='' для перечисления больших двоичных объектов из корневого каталога контейнера. После добавления условия с операцией с большими двоичными объектами списка с помощью префикса StringStartsWith "readonly/", целевые пользователи не смогут перечислять большие двоичные объекты из корневого каталога контейнера на портале Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Свойство	Имя контейнера
Оператор	StringEquals
Ценность	{containerName}
Expression 2
Оператор	И
Источник атрибута	Ресурс
Свойство	Путь к BLOB-объектам
Оператор	StringStartsWith
Ценность	{pathString}

Условие #2	Настройки
Действия	Список BLOB-объектов Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Свойство	Имя контейнера
Оператор	StringEquals
Ценность	{containerName}
Expression 2
Оператор	И
Источник атрибута	Просьба
Свойство	Префикс BLOB-объекта
Оператор	StringStartsWith
Ценность	{pathString}

Администратор данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Средство чтения данных BLOB-объектов хранилища, участник данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Запись больших двоичных объектов в именованных контейнерах с помощью пути

Это условие позволяет партнеру (гостевого пользователя Microsoft Entra) удалять файлы в контейнеры хранилища с именем Contosocorp путем отправки/contoso/*. Это условие полезно для того, чтобы другие пользователи могли помещать данные в контейнеры хранилища.

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища. Добавьте, если учетные записи хранения, включенные в это условие, включены иерархическое пространство имен или могут быть включены в будущем.

Схема условия, показывающая доступ на запись к blob-объектам в именованных контейнерах с помощью пути.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Запись в большой двоичный объект Создание большого двоичного объекта или моментального снимка или добавление данных Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Свойство	Имя контейнера
Оператор	StringEquals
Ценность	{containerName}
Expression 2
Оператор	И
Источник атрибута	Ресурс
Свойство	Путь к BLOB-объектам
Оператор	StringLike
Ценность	{pathString}

Администратор данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Сотрудник по работе с BLOB-данными хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Пример. Чтение БОЛЬШИХ двоичных объектов с тегом индекса BLOB-объектов и путем

Это условие позволяет пользователю считывать большие двоичные объекты с ключом тега индекса BLOB-объектов программы, значением Alpine и путем больших двоичных объектов журналов*. Путь к BLOB-объектам журналов* также содержит имя большого двоичного объекта.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая доступ на чтение к BLOB-объектам с тегом индекса BLOB-объектов и путем.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Свойство	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	{keyName}
Оператор	StringEquals
Ценность	{keyValue}

Условие #2	Настройки
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Свойство	Путь к BLOB-объектам
Оператор	StringLike
Ценность	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Вот как проверить это условие.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Метаданные контейнера BLOB-объектов

Пример. Чтение больших двоичных объектов в контейнере с определенными метаданными

Это условие позволяет пользователям считывать большие двоичные объекты в контейнерах БОЛЬШИХ двоичных объектов с определенной парой ключей и значений метаданных.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Свойство	Метаданные контейнера
Оператор	StringEquals
Ценность	{containerName}

Читатель данных блобов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Запись или удаление BLOB-объектов в контейнере с определенными метаданными

Это условие позволяет пользователям записывать или удалять большие двоичные объекты в контейнерах БОЛЬШИХ двоичных объектов с определенной парой ключей и значений метаданных.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Запись в большой двоичный объект Удаление большого двоичного объекта
Источник атрибута	Ресурс
Свойство	Метаданные контейнера
Оператор	StringEquals
Ценность	{containerName}

Сотрудник по работе с BLOB-данными хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие с помощью Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Версии BLOB-объектов или моментальные снимки BLOB-объектов

В этом разделе приведены примеры ограничения доступа к объектам на основе версии или моментального снимка большого двоичного объекта.

Пример. Чтение только текущих версий BLOB-объектов

Это условие позволяет пользователю читать только текущие версии BLOB-объектов. Пользователь не может читать другие версии BLOB-объектов.

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая доступ на чтение только к текущей версии БОЛЬШОго двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Свойство	Текущая версия
Оператор	BoolEquals
Ценность	Верно

Администратор данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Средство чтения данных BLOB-объектов хранилища, участник данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются в отношении выражения, проверяющего версию.

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Чтение текущих версий BLOB-объектов и определенной версии БОЛЬШОго двоичного объекта

Это условие позволяет пользователю читать текущие версии BLOB-объектов, а также читать большие двоичные объекты с идентификатором версии 2022-06-01T23:38:32.8883645Z. Пользователь не может читать другие версии BLOB-объектов. Атрибут идентификатора версии доступен только для учетных записей хранения, в которых иерархическое пространство имен не включено.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Схема условия, показывающая доступ на чтение к определенной версии большого двоичного объекта.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта
Источник атрибута	Просьба
Свойство	Идентификатор версии
Оператор	DateTimeEquals
Ценность	<BLOBVersionId>
Expression 2
Оператор	или
Источник атрибута	Ресурс
Свойство	Текущая версия
Оператор	BoolEquals
Ценность	Верно

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Удаление старых версий BLOB-объектов

Это условие позволяет пользователю удалять версии большого двоичного объекта, которые старше 06.01.2022. Атрибут идентификатора версии доступен только для учетных записей хранения, в которых иерархическое пространство имен не включено.

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Схема условия, показывающая удаление доступа к старым версиям BLOB-объектов.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Удаление большого двоичного объекта Удаление версии большого двоичного объекта
Источник атрибута	Просьба
Свойство	Идентификатор версии
Оператор	DateTimeLessThan
Ценность	<BLOBVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Чтение текущих версий BLOB-объектов и любых моментальных снимков BLOB-объектов

Это условие позволяет пользователю считывать текущие версии BLOB-объектов и любые моментальные снимки BLOB-объектов. Атрибут идентификатора версии доступен только для учетных записей хранения, в которых иерархическое пространство имен не включено. Атрибут моментального снимка доступен для учетных записей хранения, где иерархическое пространство имен не включено и в настоящее время в предварительной версии для учетных записей хранения, где включено иерархическое пространство имен.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая доступ на чтение к текущим версиям BLOB-объектов и любым моментальным снимкам BLOB-объектов.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Просьба
Свойство	Моментальный снимок
Существует	Помечено
Expression 2
Оператор	или
Источник атрибута	Ресурс
Свойство	Текущая версия
Оператор	BoolEquals
Ценность	Верно

Администратор данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Средство чтения данных BLOB-объектов хранилища, участник данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

В этом примере условие ограничивает действие чтения, за исключением случаев, когда подоперция Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов" разрешена, но все остальные действия чтения оцениваются с помощью выражения, проверяющего сведения о версии и моментальном снимке.

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Разрешение операции с большим двоичным объектом списка для включения метаданных, моментальных снимков или версий BLOB-объектов

Это условие позволяет пользователю перечислять большие двоичные объекты в контейнере и включать метаданные, моментальные снимки и сведения о версии. Атрибут включения больших двоичных объектов списка доступен для учетных записей хранения, в которых иерархическое пространство имен не включено.

Замечание

Список больших двоичных объектов включает атрибут запроса и работает путем разрешения или ограничения значений в параметре при вызове include операции "Список BLOB-объектов ". Значения в параметре сравниваются со значениями, указанными в include условии, с помощью междоменных операторов сравнения продуктов. Если сравнение оценивается как true, List Blobs запрос разрешен. Если сравнение оценивается как false, List Blobs запрос отклоняется.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Список BLOB-объектов
Источник атрибута	Просьба
Свойство	Список больших двоичных объектов:
Оператор	ДляВсехИзЛюбыхЗначений:СтрокаРавнаИгнорируяРегистр
Ценность	{'метаданные', 'снимки', 'версии'}

Читатель данных блобов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

В этом примере условие ограничивает действие чтения при подоперации Blob.List. Это означает, что операция "Список БОЛЬШИХ двоичных объектов " дополнительно вычисляется по выражению, которое проверяет include значения, но все остальные действия чтения разрешены.

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Ограничение операции с большим двоичным объектом списка, чтобы не включать метаданные BLOB-объектов

Это условие ограничивает пользователя от перечисления больших двоичных объектов при добавлении метаданных в запрос. Атрибут включения больших двоичных объектов списка доступен для учетных записей хранения, в которых иерархическое пространство имен не включено.

Замечание

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Список BLOB-объектов
Источник атрибута	Просьба
Свойство	Список больших двоичных объектов:
Оператор	ForAllOfAllValues:StringNotEquals
Ценность	{'metadata'}

Читатель данных блобов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Иерархическое пространство имен

В этом разделе содержатся примеры, показывающие, как ограничить доступ к объектам в зависимости от того, включено ли иерархическое пространство имен для учетной записи хранения.

Пример. Чтение только учетных записей хранения с включенным иерархическим пространством имен

Это условие позволяет пользователю считывать только большие двоичные объекты в учетных записях хранения с включенным иерархическим пространством имен . Это условие применимо только в области группы ресурсов или выше.

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая доступ на чтение к учетным записям хранения с включенным иерархическим пространством имен.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта Все операции с данными для учетных записей с включенным иерархическим пространством имен (если применимо)
Источник атрибута	Ресурс
Свойство	Включено ли иерархическое пространство имен
Оператор	BoolEquals
Ценность	Верно

Администратор данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Средство чтения данных BLOB-объектов хранилища, участник данных BLOB-объектов хранилища

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Область шифрования

В этом разделе приведены примеры ограничения доступа к объектам с утвержденной областью шифрования.

Пример. Чтение больших двоичных объектов с определенными областями шифрования

Это условие позволяет пользователю считывать большие двоичные объекты, зашифрованные с помощью области validScope1 шифрования или validScope2.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая доступ на чтение к blob-объектам с допустимой областью шифрованияScope1 или validScope2.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта
Источник атрибута	Ресурс
Свойство	Имя области шифрования
Оператор	ForAnyOfAnyValues:StringEquals
Ценность	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Чтение или запись БОЛЬШИХ двоичных объектов в именованной учетной записи хранения с определенной областью шифрования

Это условие позволяет пользователю читать или записывать большие двоичные объекты в учетной записи хранения с именем sampleaccount и шифрованием с помощью области ScopeCustomKey1шифрования. Если большие двоичные объекты не шифруются или расшифровываются с ScopeCustomKey1помощью, запрос возвращает запрещено.

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Замечание

Так как области шифрования для разных учетных записей хранения могут отличаться, рекомендуется использовать storageAccounts:name атрибут с encryptionScopes:name атрибутом, чтобы ограничить определенную область шифрования разрешенной.

Схема условия, показывающая доступ на чтение или запись к BLOB-объектам в учетной записи хранения sampleaccount с областью шифрования ScopeCustomKey1.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение большого двоичного объекта Запись в большой двоичный объект Создание большого двоичного объекта или моментального снимка или добавление данных
Источник атрибута	Ресурс
Свойство	Имя учетной записи
Оператор	StringEquals
Ценность	<имя_учетной_записи>
Expression 2
Оператор	И
Источник атрибута	Ресурс
Свойство	Имя области шифрования
Оператор	ДляЛюбогоИзЛюбыхЗначений:СтрокаРавно
Ценность	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Основные атрибуты

В этом разделе приведены примеры ограничения доступа к объектам на основе пользовательских субъектов безопасности.

Пример. Чтение или запись БОЛЬШИХ двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности

Это условие позволяет просматривать или записывать доступ к blob-объектам, если у пользователя есть настраиваемый атрибут безопасности , соответствующий тегу индекса BLOB-объектов.

Например, если у Бренды есть атрибут Project=Baker, она может читать или записывать большие двоичные объекты только с тегом Project=Baker индекса BLOB-объектов. Аналогичным образом Chandra может читать или записывать большие двоичные объекты только с Project=Cascadeпомощью .

Это условие необходимо добавить в любые назначения ролей, которые включают следующие действия.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Дополнительные сведения см. в разделе "Разрешить доступ на чтение к BLOB-объектам на основе тегов и настраиваемых атрибутов безопасности".

Схема условия, показывающая доступ на чтение или запись к BLOB-объектам на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение условий BLOB-объектов
Источник атрибута	Основной
Свойство	<attributeset>_<key>
Оператор	StringEquals
Вариант	Свойство
Источник атрибута	Ресурс
Свойство	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	<ключ>

Условие #2	Настройки
Действия	Запись в большой двоичный объект с тегами индекса BLOB-объектов Запись в большой двоичный объект с тегами индекса BLOB-объектов
Источник атрибута	Основной
Свойство	<attributeset>_<key>
Оператор	StringEquals
Вариант	Свойство
Источник атрибута	Просьба
Свойство	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	<ключ>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Пример. Чтение БОЛЬШИХ двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности с несколькими значениями

Это условие позволяет читать большие двоичные объекты, если у пользователя есть настраиваемый атрибут безопасности со значениями, соответствующими тегу индекса BLOB-объектов.

Например, если у Chandra есть атрибут Project со значениями Baker и Cascade, она может считывать только большие двоичные объекты с тегом Project=BakerProject=Cascade индекса или blob-объектов.

Это условие необходимо добавить к любым назначениям ролей, которые включают следующее действие.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Схема условия, показывающая доступ на чтение к BLOB-объектам на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности с несколькими значениями.

Ниже приведены параметры для добавления этого условия с помощью портала Azure.

Условие #1	Настройки
Действия	Чтение условий BLOB-объектов
Источник атрибута	Ресурс
Свойство	Теги индекса BLOB-объектов [Значения в ключе]
Ключ	<ключ>
Оператор	ForAnyOfAnyValues:StringEquals
Вариант	Свойство
Источник атрибута	Основной
Свойство	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Атрибуты среды

В этом разделе приведены примеры ограничения доступа к объектам на основе сетевой среды или текущей даты и времени.

Пример. Разрешить доступ на чтение к BLOB-объектам после определенной даты и времени

Это условие разрешает доступ на чтение к контейнеру container1 BLOB-объектов только после 1 вечера 1 мая 2023 г. (UTC).

Существует два возможных действия для чтения существующих БОЛЬШИХ двоичных объектов. Чтобы сделать это условие эффективным для субъектов, имеющих несколько назначений ролей, необходимо добавить это условие ко всем назначениям ролей, которые включают любые из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Добавление действия

Выберите действие "Добавить", а затем выберите только подоперирование БОЛЬШОго двоичного объекта , как показано в следующей таблице.

Действие	Субоперация
Все операции чтения	Чтение BLOB-объекта

Не выбирайте действие всех операций чтения верхнего уровня или другие вложенные операции, как показано на следующем рисунке:

Создание выражения

Используйте значения в следующей таблице для создания части выражения условия:

Настройки Ценность

Источник атрибута Ресурс

Свойство Имя контейнера

Оператор StringEquals

Ценность container1

Логический оператор 'AND'

Источник атрибута Окружающая среда

Свойство UtcNow

Оператор DateTimeGreaterThan

Ценность 2023-05-01T13:00:00.000Z

На следующем рисунке показано условие после ввода параметров на портал Azure. Чтобы обеспечить правильную оценку, необходимо группировать выражения.

Чтобы добавить условие с помощью редактора кода, скопируйте следующий пример кода условия и вставьте его в редактор кода. После ввода кода вернитесь в визуальный редактор, чтобы проверить его.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие для роли чтения данных BLOB-объектов хранилища с помощью Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Разрешение доступа к BLOB-объектам в определенных контейнерах из определенной подсети

Это условие позволяет читать, записывать и удалять доступ к blob-объектам container1 только из подсети default в виртуальной сети virtualnetwork1. Чтобы использовать атрибут Подсети в этом примере, подсеть должна иметь конечные точки службы, включенные для службы хранилища Azure.

Существует пять возможных действий для чтения, записи, добавления и удаления доступа к существующим BLOB-объектам. Чтобы сделать это условие эффективным для субъектов, имеющих несколько назначений ролей, необходимо добавить это условие ко всем назначениям ролей, которые включают любые из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Добавление действия

Выберите "Добавить действие", а затем выберите только действия верхнего уровня, показанные в следующей таблице.

Действие	Субоперация
Все операции чтения	n/a
Запись в BLOB-объект	n/a
Создание BLOB-центра или моментального снимка либо добавление данных	n/a
Удаление блоба	n/a

Не выбирайте отдельные вложенные операции, как показано на следующем рисунке:

Создание выражения

Используйте значения в следующей таблице для создания части выражения условия:

Настройки Ценность

Источник атрибута Ресурс

Свойство Имя контейнера

Оператор StringEquals

Ценность container1

Логический оператор 'AND'

Источник атрибута Окружающая среда

Свойство Подсеть

Оператор StringEqualsIgnoreCase

Ценность /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие для роли участника данных BLOB-объектов хранилища с помощью Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Требовать доступ к большим двоичным объектам с высокой степенью конфиденциальности приватного канала

Для этого условия требуются запросы на чтение БОЛЬШИХ двоичных объектов, где конфиденциальность тега индекса BLOB-объектов имеет значение high для приватного канала (любая частная ссылка). Это означает, что все попытки чтения высокочувствительных BLOB-объектов из общедоступного Интернета не будут разрешены. Пользователи могут считывать большие двоичные объекты из общедоступного Интернета , которые имеют значение, отличное от highзначения.

Ниже приведена таблица истины для этого примера ABAC:

Действие	Чувствительность	Приватный канал	Access
Чтение большого двоичного объекта	высокий	Да	Допустимо
Чтение большого двоичного объекта	высокий	нет	Запрещено
Чтение большого двоичного объекта	НЕ высокий	Да	Допустимо
Чтение BLOB-объекта	НЕ высокий	нет	Допустимо

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Ниже приведены параметры для добавления этого условия с помощью редактора визуальных условий на портале Azure.

Добавление действия

Действие	Субоперация
Все операции чтения	Чтение BLOB-объекта

Не выбирайте действие всех операций чтения верхнего уровня других вложенных операций, как показано на следующем рисунке:

Создание выражения

Используйте значения в следующей таблице для создания части выражения условия:

Группа Настройки Ценность

Группа #1

Источник атрибута Ресурс

Свойство Теги индекса BLOB-объектов [Значения в ключе]

Ключ sensitivity

Оператор StringEquals

Ценность high

Логический оператор «И»

Источник атрибута Окружающая среда

Свойство Частная ссылка

Оператор BoolEquals

Ценность True

Конец группы #1

Логический оператор 'OR'

Источник атрибута Ресурс

Свойство Теги индекса BLOB-объектов [Значения в ключе]

Ключ sensitivity

Оператор StringNotEquals

Ценность high

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие для роли чтения данных BLOB-объектов хранилища с помощью Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Разрешить доступ к контейнеру только из конкретной частной конечной точки

Для этого условия требуется, чтобы все операции чтения, записи, добавления и удаления больших двоичных объектов в контейнере хранилища были сделаны через частную конечную точку с именем container1privateendpoint1. Для всех остальных контейнеров, не именованных container1, доступ не требуется через частную конечную точку.

Существует пять возможных действий для чтения, записи и удаления существующих больших двоичных объектов. Чтобы сделать это условие эффективным для субъектов, имеющих несколько назначений ролей, необходимо добавить это условие ко всем назначениям ролей, которые включают любые из следующих действий.

Действие	Примечания.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища. Добавьте, если учетные записи хранения, включенные в это условие, включены иерархическое пространство имен или могут быть включены в будущем.

Добавление действия

Действие	Субоперация
Все операции чтения	n/a
Запись в BLOB-объект	n/a
Создание BLOB-центра или моментального снимка либо добавление данных	n/a
Удаление блоба	n/a

Не выбирайте отдельные вложенные операции, как показано на следующем рисунке:

Создание выражения

Используйте значения в следующей таблице для создания части выражения условия:

Группа Настройки Ценность

Группа #1

Источник атрибута Ресурс

Свойство Имя контейнера

Оператор StringEquals

Ценность container1

Логический оператор «И»

Источник атрибута Окружающая среда

Свойство Приватная конечная точка

Оператор StringEqualsIgnoreCase

Ценность /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Конец группы #1

Логический оператор 'OR'

Источник атрибута Ресурс

Свойство Имя контейнера

Оператор StringNotEquals

Ценность container1

Чтобы добавить условие с помощью редактора кода, выберите один из следующих примеров кода условия в зависимости от роли, связанной с назначением. После ввода кода вернитесь в визуальный редактор, чтобы проверить его.

Владелец данных BLOB-объектов хранилища:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Участник данных BLOB-объектов хранилища:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие для роли участника данных BLOB-объектов хранилища с помощью Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Пример. Разрешить доступ для чтения к конфиденциальным данным BLOB-объектов только из конкретной частной конечной точки и пользователями, помеченными для доступа

Это условие требует, чтобы большие двоичные объекты с набором high тегов индекса могли читаться только пользователями, имеющими соответствующее значение для атрибута безопасности конфиденциальности. Кроме того, они должны быть доступны через частную конечную точку с именем privateendpoint1. Большие двоичные объекты, имеющие другое значение для тега конфиденциальности , можно получить через другие конечные точки или Интернет.

Действие Примечания.

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Добавьте, если определение роли включает это действие, например владелец данных BLOB-объектов хранилища.

Добавление действия

Действие	Субоперация
Все операции чтения	Чтение BLOB-объекта

Не выбирайте действие верхнего уровня, как показано на следующем рисунке:

Создание выражения

Используйте значения в следующей таблице для создания части выражения условия:

Группа	Настройки	Ценность
Группа #1
	Источник атрибута	Основной
	Свойство	<наборатрибутов>_<ключ>
	Оператор	StringEquals
	Вариант	Свойство
	Логический оператор	«И»
	Источник атрибута	Ресурс
	Свойство	Теги индекса BLOB-объектов [Значения в ключе]
	Ключ	<ключ>
	Логический оператор	«И»
	Источник атрибута	Окружающая среда
	Свойство	Приватная конечная точка
	Оператор	StringEqualsIgnoreCase
	Ценность	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Конец группы #1
	Логический оператор	'OR'
	Источник атрибута	Ресурс
	Свойство	Теги индекса BLOB-объектов [Значения в ключе]
	Ключ	`sensitivity`
	Оператор	StringNotEquals
	Ценность	`high`

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Дополнительные сведения о форматировании и оценке условий см. в формате условий.

Вот как добавить это условие для роли чтения данных BLOB-объектов хранилища с помощью Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Поделиться через

Пример условий назначения ролей Azure для хранилища BLOB-объектов

Предпосылки

Сводка примеров в этой статье

Теги индекса для BLOB-объектов

Пример. Чтение BLOB-объектов с тегом индекса BLOB-объектов

Пример. Новые большие двоичные объекты должны содержать тег индекса BLOB-объектов.

Пример. Существующие большие двоичные объекты должны иметь ключи тега индекса BLOB-объектов

Пример. Существующие большие двоичные объекты должны иметь ключ и значения тега индекса BLOB-объектов.

Имена или пути контейнера BLOB-объектов

Пример: чтение, запись или удаление БОЛЬШИХ двоичных объектов в именованных контейнерах

Пример. Чтение больших двоичных объектов в именованных контейнерах с помощью пути

Пример. Чтение или перечисление больших двоичных объектов в именованных контейнерах с помощью пути

Пример. Запись больших двоичных объектов в именованных контейнерах с помощью пути

Пример. Чтение БОЛЬШИХ двоичных объектов с тегом индекса BLOB-объектов и путем

Метаданные контейнера BLOB-объектов

Пример. Чтение больших двоичных объектов в контейнере с определенными метаданными

Пример. Запись или удаление BLOB-объектов в контейнере с определенными метаданными

Версии BLOB-объектов или моментальные снимки BLOB-объектов

Пример. Чтение только текущих версий BLOB-объектов

Пример. Чтение текущих версий BLOB-объектов и определенной версии БОЛЬШОго двоичного объекта

Пример. Удаление старых версий BLOB-объектов

Пример. Чтение текущих версий BLOB-объектов и любых моментальных снимков BLOB-объектов

Пример. Разрешение операции с большим двоичным объектом списка для включения метаданных, моментальных снимков или версий BLOB-объектов

Пример. Ограничение операции с большим двоичным объектом списка, чтобы не включать метаданные BLOB-объектов

Иерархическое пространство имен

Пример. Чтение только учетных записей хранения с включенным иерархическим пространством имен

Область шифрования

Пример. Чтение больших двоичных объектов с определенными областями шифрования

Пример. Чтение или запись БОЛЬШИХ двоичных объектов в именованной учетной записи хранения с определенной областью шифрования

Основные атрибуты

Пример. Чтение или запись БОЛЬШИХ двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности

Пример. Чтение БОЛЬШИХ двоичных объектов на основе тегов индекса BLOB-объектов и настраиваемых атрибутов безопасности с несколькими значениями

Атрибуты среды

Пример. Разрешить доступ на чтение к BLOB-объектам после определенной даты и времени

Добавление действия

Создание выражения

Пример. Разрешение доступа к BLOB-объектам в определенных контейнерах из определенной подсети

Добавление действия

Создание выражения

Пример. Требовать доступ к большим двоичным объектам с высокой степенью конфиденциальности приватного канала

Добавление действия

Создание выражения

Пример. Разрешить доступ к контейнеру только из конкретной частной конечной точки

Добавление действия

Создание выражения

Пример. Разрешить доступ для чтения к конфиденциальным данным BLOB-объектов только из конкретной частной конечной точки и пользователями, помеченными для доступа

Добавление действия

Создание выражения

Дальнейшие шаги

Обратная связь

Дополнительные ресурсы