Azure Blob Storage 内での Azure のロールの割り当て条件のアクションと属性
この記事では、Azure ロールの割り当て条件で使用できるサポートされている属性ディクショナリについて、Azure Storage の DataAction ごとに説明します。 特定のアクセス許可または DataAction が影響する Blob service 操作リストについては、「Blob service 操作のアクセス許可」をご覧ください。
ロールの割り当て条件の形式については、「Azure ロールの割り当て条件の形式と構文」をご覧ください。
重要
Azure 属性ベースのアクセス制御 (Azure ABAC) は、ストレージ アカウントの Standard と Premium 両方のパフォーマンス レベルで、request、resource、environment、principal を使用して Azure Blob Storage、Azure Data Lake Storage Gen2、Azure キューへのアクセスを制御するために一般提供 (GA) されています。 現在、コンテナー メタデータ リソース属性とリスト BLOB インクルード要求属性はプレビュー段階です。 Azure Storage の ABAC の完全な機能状態情報については、「Azure Storage の条件機能の状態」を参照してください。
ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
サブ操作
複数の Storage サービス操作を、1 つのアクセス許可または DataAction に関連付けることができます。 ただし、同じアクセス許可に関連付けられているこれらの操作がそれぞれ、異なるパラメーターをサポートする場合があります。 "サブ操作" を使用すると、同じアクセス許可を必要としながら、条件となる一連の属性が異なるサービス操作を区別できます。 したがって、サブ操作を使って、特定のパラメーターをサポートする操作のサブセットへのアクセスに対して、1 つの条件を指定することができます。 その後、そのパラメーターをサポートしない同じアクションを使用して、操作に対して別のアクセス条件を使用できます。
たとえば、Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write アクションは、10 数種類のサービス操作に必要です。 一部の操作は要求パラメーターとして BLOB インデックス タグを受け入れ可能ですが、受け入れることができない操作もあります。 BLOB インデックス タグをパラメーターとして受け入れる操作については、要求条件内で BLOB インデックス タグを使用できます。 しかし、Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write アクションでこのような条件が定義されていると、要求パラメーターとしてタグを受け入れないすべての操作がこの条件を評価できず、承認アクセス チェックに失敗します。
この場合は、省略可能なサブ操作 Blob.Write.WithTagHeaders を使用して、要求パラメーターとして BLOB インデックス タグをサポートするこれらの操作にのみ条件を適用することができます。
Note
BLOB ではほかにも、ユーザー定義による任意のキー値メタデータを格納する機能がサポートされています。 メタデータと BLOB インデックス タグはよく似ていますが、条件では BLOB インデックス タグを使用する必要があります。 詳細については、「BLOB インデックス タグを使用して Azure BLOB データを管理および検索する」を参照してください。
Azure Blob Storage のアクションとサブ操作
このセクションでは、条件の対象として使用できる、サポートされている Azure Blob Storage のアクションとサブ操作の一覧を示します。 これらの概要を次の表に示します。
| 表示名 | DataAction | サブ操作 |
|---|---|---|
| 操作を読み取ります。 | ||
| タグによる BLOB の検索 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
該当なし |
| BLOB をリストする | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Blob.List |
| Read a blob (BLOB を読み取る) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
NOT Blob.List |
| Read blob index tags (BLOB インデックス タグを読み取る) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
該当なし |
| 非推奨タグ条件を使用して BLOB からコンテンツを読み取る (非推奨) |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Blob.Read.WithTagConditions |
| 書き込み操作 | ||
| Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
該当なし |
| BLOB を削除する | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
該当なし |
| Delete a version of a blob (BLOB のバージョンを削除する) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action |
該当なし |
| Permanently delete a blob overriding soft-delete (論理的な削除をオーバーライドする BLOB を完全に削除する) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action |
該当なし |
| ファイルまたはディレクトリの名前を変更する | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action |
該当なし |
| BLOB にアクセス層を設定する | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Blob.Write.Tier |
| Write blob index tags (BLOB インデックス タグを書き込む) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
該当なし |
| BLOB の訴訟ホールドと不変性ポリシーを書き込む | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
該当なし |
| Write to a blob (BLOB に書き込む) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
該当なし |
| Write to a blob with blob index tags (BLOB インデックス タグを使用して BLOB に書き込む) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
Blob.Write.WithTagHeaders |
| アクセス許可操作 | ||
| BLOB の所有権を変更する | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action |
該当なし |
| Modify permissions of a blob (BLOB のアクセス許可を変更する) | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action |
該当なし |
| HNS 操作 | ||
| 階層型名前空間が有効になっているアカウントのすべてのデータ操作 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
該当なし |
BLOB を一覧表示する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | BLOB を一覧表示する |
| BLOB 操作の一覧です。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| サブ操作 | Blob.List |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 |
| 要求属性 | BLOB プレフィックス |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})例: パスを使用して名前付きコンテナー内の BLOB を読み取る、またはリストする |
Read a blob (BLOB を読み取る)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Read a blob (BLOB を読み取る) |
| リストを除くすべての BLOB 読み取り操作です。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| サブ操作 | NOT Blob.List |
| リソース属性 | アカウント名 現在のバージョンかどうか 階層型名前空間は有効か コンテナー名 BLOB パス 暗号化スコープ名 |
| 要求属性 | バージョン ID スナップショット |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})例: パスを使用して名前付きコンテナー内の BLOB を読み取る |
Read content from a blob with tag conditions (タグ条件を使用して BLOB からコンテンツを読み取る)
重要
Read content from a blob with tag conditions サブ操作は非推奨になっています。 現在、これは ABAC 機能のプレビュー中に実装された条件との互換性のためにサポートされていますが、代わりに BLOB の読み取りアクションを使用することをお勧めします。
Azure portal で ABAC 条件を構成すると、"非推奨: タグ条件を使用して BLOB からコンテンツを読み取る" と表示されることがあります。 操作を削除し、Read a blob アクションに置き換えることをお勧めします。
タグ条件によって読み取りアクセスを制限する独自の条件を作成する場合は、「例: BLOB インデックス タグを使用した BLOB の読み取り」を参照してください。
Read blob index tags (BLOB インデックス タグを読み取る)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Read blob index tags (BLOB インデックス タグを読み取る) |
| BLOB インデックス タグを読み取るための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 現在のバージョンかどうか 階層型名前空間は有効か コンテナー名 BLOB パス Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値]) Blob index tags [Keys] (BLOB インデックス タグ [キー]) |
| 要求属性 | バージョン ID スナップショット |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 詳細情報 | BLOB インデックス タグを使用して Azure BLOB データを管理および検索する |
タグによる BLOB の検索
| プロパティ | 先頭値 |
|---|---|
| 表示名 | タグによる BLOB の検索 |
| 説明 | インデックス タグで BLOB を検索するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
Write to a blob (BLOB に書き込む)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Write to a blob (BLOB に書き込む) |
| 説明 | BLOB に書き込むための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス 暗号化スコープ名 |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})例: 名前付きコンテナー内の BLOB の読み取り、書き込み、または削除 |
BLOB にアクセス層を設定する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | BLOB にアクセス層を設定する |
| 説明 | BLOB に書き込むための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| サブ操作 | Blob.Write.Tier |
| リソース属性 | アカウント名 現在のバージョンかどうか 階層型名前空間は有効か コンテナー名 BLOB パス 暗号化スコープ名 |
| 要求属性 | バージョン ID スナップショット |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.Tier'}) |
Write to a blob with blob index tags (BLOB インデックス タグを使用して BLOB に書き込む)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Write to a blob with blob index tags (BLOB インデックス タグを使用して BLOB に書き込む) |
| REST 操作: Put Blob、Put Block List、Copy Blob、Copy Blob From URL。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| サブ操作 | Blob.Write.WithTagHeaders |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス 暗号化スコープ名 |
| 要求属性 | Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値]) Blob index tags [Keys] (BLOB インデックス タグ [キー]) |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})例: 新しい BLOB にBLOB インデックス タグを含める必要がある |
| 詳細情報 | BLOB インデックス タグを使用して Azure BLOB データを管理および検索する |
Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する) |
| BLOB を作成するための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス 暗号化スコープ名 |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})例: 名前付きコンテナー内の BLOB の読み取り、書き込み、または削除 |
Write blob index tags (BLOB インデックス タグを書き込む)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Write blob index tags (BLOB インデックス タグを書き込む) |
| BLOB インデックス タグを書き込むための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 現在のバージョンかどうか 階層型名前空間は有効か コンテナー名 BLOB パス Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値]) Blob index tags [Keys] (BLOB インデックス タグ [キー]) |
| 要求属性 | Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値]) Blob index tags [Keys] (BLOB インデックス タグ [キー]) バージョン ID スナップショット |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})例: 既存の BLOB に BLOB インデックス タグ キーが必要 |
| 詳細情報 | BLOB インデックス タグを使用して Azure BLOB データを管理および検索する |
BLOB の訴訟ホールドと不変性ポリシーを書き込む
| プロパティ | 先頭値 |
|---|---|
| 表示名 | BLOB の訴訟ホールドと不変性ポリシーを書き込む |
| BLOB の訴訟ホールドと不変性ポリシーを書き込むための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
BLOB を削除する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | BLOB を削除する |
| 説明 | BLOB を削除するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 現在のバージョンかどうか 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | バージョン ID スナップショット |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})例: 名前付きコンテナー内の BLOB の読み取り、書き込み、または削除 |
Delete a version of a blob (BLOB のバージョンを削除する)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Delete a version of a blob (BLOB のバージョンを削除する) |
| BLOB のバージョンを削除するための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | バージョン ID |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})例: 以前の BLOB バージョンを削除する |
Permanently delete a blob overriding soft-delete (論理的な削除をオーバーライドする BLOB を完全に削除する)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Permanently delete a blob overriding soft-delete (論理的な削除をオーバーライドする BLOB を完全に削除する) |
| 論理的な削除をオーバーライドする BLOB を完全に削除するための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 現在のバージョンかどうか 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | バージョン ID スナップショット |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
Modify permissions of a blob (BLOB のアクセス許可を変更する)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Modify permissions of a blob (BLOB のアクセス許可を変更する) |
| 説明 | BLOB のアクセス許可を変更するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
BLOB の所有権を変更する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | BLOB の所有権を変更する |
| BLOB の所有権を変更するための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
ファイルまたはディレクトリの名前を変更する
| プロパティ | 先頭値 |
|---|---|
| 表示名 | ファイルまたはディレクトリの名前を変更する |
| ファイルまたはディレクトリの名前を変更するための DataAction。 | |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
階層型名前空間が有効になっているアカウントのすべてのデータ操作
| プロパティ | 先頭値 |
|---|---|
| 表示名 | 階層型名前空間が有効になっているアカウントのすべてのデータ操作 |
| 階層型名前空間が有効になっているストレージ アカウントに対するすべてのデータ操作のための DataAction。 ロール定義に Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action アクションが含まれている場合は、条件でこのアクションをターゲットにする必要があります。 このアクションをターゲットにすると、ストレージ アカウントに対して階層型名前空間が有効になっている場合でも、条件は引き続き期待どおりに動作します。 |
|
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
| サブ操作 | 該当なし |
| リソース属性 | アカウント名 現在のバージョンかどうか 階層型名前空間は有効か コンテナー名 BLOB パス |
| 要求属性 | |
| プリンシパル属性のサポート | True |
| 環境属性 | Is private link (プライベート リンクかどうか) プライベート エンドポイント サブネット UTC 現在 |
| 使用例 | 例: 名前付きコンテナー内の BLOB の読み取り、書き込み、または削除 例: パスを使用して名前付きコンテナー内の BLOB を読み取る 例: パスを使用して名前付きコンテナー内の BLOB を読み取る、またはリストする 例: パスを使用して名前付きコンテナーに BLOB を書き込む 例: 現在の BLOB バージョンのみ読み取る 例: 現在の BLOB バージョンと BLOB スナップショットを読み取る 例: 階層型名前空間が有効になっているストレージ アカウントのみ読み取る |
| 詳細情報 | Azure Data Lake Storage Gen2 の階層型名前空間 |
Azure Blob Storage の属性
このセクションでは、ターゲットとするアクションに応じて、条件式で使用できる Azure Blob Storage 属性の一覧を示します。 1 つの条件に対して複数のアクションを選択すると、選択したアクション全体で属性が使用できる必要があるため、条件のために選択する属性の数は少なくなる可能性があります。
Note
表示されている属性と値は、特に明記されていない限り、大文字と小文字が区別されません。
次の表は、ソース別に使用可能な属性をまとめたものです。
| Attribute Source | Display name | 説明 |
|---|---|---|
| Environment | ||
| プライベート リンク | アクセスがプライベート リンク経由であるかどうか | |
| プライベート エンドポイント | オブジェクトへのアクセスで経由するプライベート エンドポイント | |
| サブネット | オブジェクトへのアクセスで経由するサブネット | |
| UTC 現在 | 協定世界時による現在の日付と時刻 | |
| Request | ||
| Blob index tags [Keys] (BLOB インデックス タグ [キー]) | BLOB リソースのインデックス タグ (キー)。階層型名前空間が有効になっていないストレージ アカウントでのみ使用できます | |
| Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値]) | BLOB リソースのインデックス タグ (キー内の値)。階層型名前空間が有効になっていないストレージ アカウントでのみ使用できます | |
| BLOB プレフィックス | BLOB の許可されたプレフィックスが一覧表示されます。 | |
| リスト BLOB インクルード | メタデータ、スナップショット、バージョンなど、リスト操作に含めることができる情報 | |
| スナップショット | BLOB スナップショットのスナップショット識別子 | |
| バージョン ID | バージョン管理された BLOB のバージョン ID。階層型名前空間が有効になっていないストレージ アカウントでのみ使用できます | |
| リソース | ||
| アカウント名 | ストレージ アカウント名 | |
| Blob index tags [Keys] (BLOB インデックス タグ [キー]) | BLOB リソース上のインデックス タグ (キー) | |
| Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値]) | BLOB リソース上のインデックス タグ (キーの値) | |
| BLOB パス | 仮想ディレクトリ、BLOB、フォルダー、ファイル リソースのいずれかのパス | |
| コンテナー名 | ストレージ コンテナーまたはファイル システムの名前 | |
| コンテナー メタデータ | コンテナーに関連付けられているメタデータのキーと値のペア | |
| 暗号化スコープ名 | データの暗号化に使用される暗号化スコープの名前 | |
| 現在のバージョンかどうか | リソースが BLOB の現在のバージョンであるかどうか | |
| 階層型名前空間は有効か | ストレージ アカウントで階層型名前空間が有効になっているかどうか |
アカウント名
| プロパティ | 先頭値 |
|---|---|
| 表示名 | アカウント名 |
| 説明 | ストレージ アカウントの名前。 |
| 属性 | Microsoft.Storage/storageAccounts:name |
| Attribute source (属性ソース) | リソース |
| 属性の型 | String |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'例: 特定の暗号化スコープを使用する名前付きストレージ アカウントで BLOB を読み取る、または書き込む |
Blob index tags [Keys] (BLOB インデックス タグ [キー])
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Blob index tags [Keys] (BLOB インデックス タグ [キー]) |
| BLOB リソース上のインデックス タグ。 BLOB リソースと共に保存できる任意のユーザー定義キー値プロパティ。 BLOB インデックス タグ内のキーを確認するときに使用します。 階層型名前空間が有効になっていないストレージ アカウントでのみ使用できます。 |
|
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$& |
| Attribute source (属性ソース) | リソース Request |
| 属性の型 | StringList |
| では、大文字と小文字が区別されます | 正しい |
| 階層型名前空間のサポート | False |
| 使用例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}例: 既存の BLOB に BLOB インデックス タグ キーが必要 |
| 詳細情報 | BLOB インデックス タグを使用して Azure BLOB データを管理および検索する Azure Data Lake Storage Gen2 の階層型名前空間 |
Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値])
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Blob index tags [Values in key] (BLOB インデックス タグ [キー内の値]) |
| BLOB リソース上のインデックス タグ。 BLOB リソースと共に保存できる任意のユーザー定義キー値プロパティ。 BLOB インデックス タグ内のキー (大文字と小文字を区別する) と値の両方を確認するときに使用します。 階層型名前空間が有効になっていないストレージ アカウントでのみ使用できます。 |
|
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags |
| Attribute source (属性ソース) | リソース Request |
| 属性の型 | String |
| では、大文字と小文字が区別されます | 正しい |
| 階層型名前空間のサポート | False |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:keyname<$key_case_sensitive$>@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'例: BLOB インデックス タグを使用して BLOB を読み取る |
| 詳細情報 | BLOB インデックス タグを使用して Azure BLOB データを管理および検索する Azure Data Lake Storage Gen2 の階層型名前空間 |
BLOB パス
| プロパティ | 先頭値 |
|---|---|
| 表示名 | BLOB パス |
| 仮想ディレクトリ、BLOB、フォルダー、ファイル リソースのいずれかのパス。 BLOB パス内の BLOB の名前またはフォルダーを確認するときに使用します。 |
|
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path |
| Attribute source (属性ソース) | リソース |
| 属性の型 | String |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'例: パスを使用して名前付きコンテナー内の BLOB を読み取る |
注意
Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path 属性の条件を指定する場合、値にはコンテナー名またはスラッシュ (/) 文字を含めることはできません。 パス文字は URL エンコードなしで使用してください。
BLOB プレフィックス
| プロパティ | 先頭値 |
|---|---|
| 表示名 | BLOB プレフィックス |
| BLOB の許可されたプレフィックスが一覧表示されます。 仮想ディレクトリまたはフォルダー リソースのパス。 BLOB パス内の BLOB のフォルダーを確認するときに使用します。 |
|
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix |
| Attribute source (属性ソース) | Request |
| 属性の型 | String |
| 使用例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'例: パスを使用して名前付きコンテナー内の BLOB を読み取る、またはリストする |
注意
Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix 属性の条件を指定する場合、値にはコンテナー名またはスラッシュ (/) 文字を含めることはできません。 パス文字は URL エンコードなしで使用してください。
コンテナー名
| プロパティ | 先頭値 |
|---|---|
| 表示名 | コンテナー名 |
| ストレージ コンテナーまたはファイル システムの名前。 コンテナー名を確認するときに使用します。 |
|
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers:name |
| Attribute source (属性ソース) | リソース |
| 属性の型 | String |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'例: 名前付きコンテナー内の BLOB の読み取り、書き込み、または削除 |
コンテナーのメタデータ
| プロパティ | 先頭値 |
|---|---|
| [表示名] | コンテナーのメタデータ |
| 説明 | コンテナーに関連付けられているメタデータのキーと値のペア。 コンテナーの特定のメタデータを確認する場合に使用します。 現在プレビュー中 |
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/metadata |
| Attribute source (属性ソース) | リソース |
| 属性の型 | String |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'例: 特定のメタデータを使用してコンテナー内の BLOB を読み取る 例: 特定のメタデータを使用してコンテナー内の BLOB を書き込むまたは削除する |
暗号化スコープ名
| プロパティ | 先頭値 |
|---|---|
| 表示名 | 暗号化スコープ名 |
| データの暗号化に使用される暗号化スコープの名前。 | |
| 属性 | Microsoft.Storage/storageAccounts/encryptionScopes:name |
| Attribute source (属性ソース) | リソース |
| 属性の型 | String |
| サポートが存在します | True |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}例: 特定の暗号化スコープを使用する BLOB を読み取る |
| 詳細情報 | 暗号化スコープの作成と管理 |
現在のバージョンかどうか
| プロパティ | 先頭値 |
|---|---|
| 表示名 | 現在のバージョンかどうか |
| リソースが、スナップショットまたは特定の BLOB バージョンではなく、BLOB の現在のバージョンであるかどうか | |
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion |
| Attribute source (属性ソース) | リソース |
| 属性の型 | Boolean |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true例: 現在の BLOB バージョンのみ読み取る 例: 現在の BLOB バージョンと特定の BLOB バージョンを読み取る |
階層型名前空間は有効か
| プロパティ | 先頭値 |
|---|---|
| 表示名 | 階層型名前空間は有効か |
| ストレージ アカウントで階層型名前空間が有効になっているかどうか。 リソース グループのスコープ以上でのみ適用されます。 |
|
| 属性 | Microsoft.Storage/storageAccounts:isHnsEnabled |
| Attribute source (属性ソース) | リソース |
| 属性の型 | Boolean |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true例: 階層型名前空間が有効になっているストレージ アカウントのみ読み取る |
| 詳細情報 | Azure Data Lake Storage Gen2 の階層型名前空間 |
Is private link (プライベート リンクかどうか)
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Is private link (プライベート リンクかどうか) |
| 説明 | アクセスがプライベート リンク経由であるかどうか 任意のプライベート リンク経由のアクセスを要求するために使用します。 |
| 属性 | isPrivateLink |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | Boolean |
| 適用対象 | 次の REST 操作を使用したコピー操作では、この属性はコピー先のストレージ アカウントにのみ適用され、ソースには適用されません: Copy Blob Copy Blob From URL Put Blob From URL Put Block From URL Append Block From URL Put Page From URL その他のすべての読み取り、書き込み、作成、削除、および名前変更の操作では、操作のターゲットであるストレージ アカウントに適用されます |
| 使用例 | @Environment[isPrivateLink] BoolEquals true例: 機密情報を含む BLOB を読み取るためにプライベート リンク アクセスを要求します |
| 詳細情報 | Azure Storage のプライベート エンドポイントを使用する |
リスト BLOB インクルード
| プロパティ | 先頭値 |
|---|---|
| [表示名] | リスト BLOB インクルード |
| 説明 | メタデータ、スナップショット、バージョンなど、リスト BLOB 操作に含めることができる情報。 リスト BLOB 操作を呼び出すときに、 include パラメーターの値を許可または制限する場合に使用します。現在プレビュー中 階層型名前空間が有効になっていないストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include |
| Attribute source (属性ソース) | Request |
| 属性の型 | String |
| 使用例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}例: リスト BLOB 操作に BLOB のメタデータ、スナップショット、またはバージョンを含めることを許可する 例: リスト BLOB 操作に BLOB メタデータを含めないように制限する |
プライベート エンドポイント
| プロパティ | 先頭値 |
|---|---|
| 表示名 | プライベート エンドポイント |
| 説明 | オブジェクトへのアクセスで経由するプライベート エンドポイント。 特定のプライベート エンドポイント経由にアクセスを制限するために使用します。 少なくとも 1 つのプライベート エンドポイントが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Network/privateEndpoints |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | String |
| 適用対象 | 次の REST 操作を使用したコピー操作では、この属性はコピー先のストレージ アカウントにのみ適用され、ソースには適用されません: Copy Blob Copy Blob From URL Put Blob From URL Put Block From URL Append Block From URL Put Page From URL その他のすべての読み取り、書き込み、作成、削除、および名前変更の操作では、操作のターゲットであるストレージ アカウントに適用されます |
| 使用例 | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'例: 特定のプライベート エンドポイントからのみコンテナーへの読み取りアクセスを許可します |
| 詳細情報 | Azure Storage のプライベート エンドポイントを使用する |
スナップショット
| プロパティ | 先頭値 |
|---|---|
| 表示名 | スナップショット |
| 説明 | BLOB スナップショットのスナップショット識別子。 階層型名前空間が有効になっていないストレージ アカウントでのみ使用でき、階層型名前空間が有効になっているストレージ アカウントでは現在プレビュー段階です。 |
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot |
| Attribute source (属性ソース) | Request |
| 属性の型 | DateTime |
| サポートが存在します | True |
| 階層型名前空間のサポート | False |
| 使用例 | Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]例: 現在の BLOB バージョンと BLOB スナップショットを読み取る |
| 詳細情報 | BLOB のスナップショット Azure Data Lake Storage Gen2 の階層型名前空間 |
Subnet
| プロパティ | 先頭値 |
|---|---|
| 表示名 | Subnet |
| 説明 | オブジェクトへのアクセスで経由するサブネット。 特定のサブネットにアクセスを制限するために使用します。 サービス エンドポイントを使用する少なくとも 1 つの仮想ネットワーク サブネットが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Network/virtualNetworks/subnets |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | String |
| 適用対象 | 次の REST 操作を使用したコピー操作では、この属性はコピー先のストレージ アカウントにのみ適用され、ソースには適用されません: Copy Blob Copy Blob From URL Put Blob From URL Put Block From URL Append Block From URL Put Page From URL その他のすべての読み取り、書き込み、作成、削除、および名前変更の操作では、操作のターゲットであるストレージ アカウントに適用されます |
| 使用例 | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'例: 特定のサブネットから特定のコンテナー内の BLOB へのアクセスを許可します |
| 詳細情報 | サブネット |
UTC 現在
| プロパティ | 先頭値 |
|---|---|
| 表示名 | UTC 現在 |
| 説明 | 協定世界時による現在の日付と時刻。 特定の日付と期間のオブジェクトへのアクセスを制御するために使用します。 |
| 属性 | UtcNow |
| Attribute source (属性ソース) | 環境 |
| 属性の型 | DateTime (DateTimeGreaterThan と DateTimeLessThan 演算子のみが [UTC 現在] 属性でサポートされています)。 |
| 使用例 | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'例: 特定の日付と時刻の後に BLOB への読み取りアクセスを許可する |
バージョン ID
| プロパティ | 先頭値 |
|---|---|
| 表示名 | バージョン ID |
| 説明 | バージョン管理された BLOB のバージョン ID。 階層型名前空間が有効になっていないストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId |
| Attribute source (属性ソース) | Request |
| 属性の型 | DateTime |
| サポートが存在します | True |
| 階層型名前空間のサポート | False |
| 使用例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'例: 現在の BLOB バージョンと特定の BLOB バージョンを読み取る 例: 現在の BLOB バージョンと BLOB スナップショットを読み取る |
| 詳細情報 | Azure Data Lake Storage Gen2 の階層型名前空間 |