Azure Queue Storage 用 Azure のロールの割り当て条件のアクションと属性

この記事では、Azure ロールの割り当て条件で使用できるサポートされている属性ディクショナリについて、Azure Storage の DataAction ごとに説明します。 特定のアクセス許可または DataAction が影響する Queue サービス操作リストについては、Queue サービス操作のアクセス許可に関するセクションをご覧ください。

ロールの割り当て条件の形式については、「Azure ロールの割り当て条件の形式と構文」をご覧ください。

重要

Azure 属性ベースのアクセス制御 (Azure ABAC) は、ストレージ アカウントの Standard と Premium 両方のパフォーマンス レベルで、requestresourceenvironmentprincipal を使用して Azure Blob Storage、Azure Data Lake Storage Gen2、Azure キューへのアクセスを制御するために一般提供 (GA) されています。 現在、コンテナー メタデータ リソース属性とリスト BLOB インクルード要求属性はプレビュー段階です。 Azure Storage の ABAC の完全な機能状態情報については、「Azure Storage の条件機能の状態」を参照してください。

ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Azure Queue Storage のアクション

このセクションでは、条件の対象として使用できる、サポートされている Azure Queue Storage のアクションのリストを示します。

ストレージ アカウントでサポートされるアクションは次のとおりです。

表示名 DataAction
メッセージをクイック表示する Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
メッセージを追加する Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action
メッセージを追加または更新する Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
メッセージをクリアする Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
メッセージを取得または削除する Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

メッセージをクイック表示する

プロパティ 先頭値
表示名 メッセージをクイック表示する
説明 メッセージをクイック表示するための DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
リソース属性 アカウント名
キュー名
要求属性
プリンシパル属性のサポート 正しい

メッセージを追加する

プロパティ 先頭値
表示名 メッセージを追加する
説明 メッセージを追加するための DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action
リソース属性 アカウント名
キュー名
要求属性
プリンシパル属性のサポート 正しい

メッセージを追加または更新する

プロパティ 先頭値
表示名 メッセージを追加または更新する
説明 メッセージを追加または更新するための DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
リソース属性 アカウント名
キュー名
要求属性
プリンシパル属性のサポート 正しい

メッセージをクリアする

プロパティ 先頭値
表示名 メッセージをクリアする
**説明** メッセージをクリアするための DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
リソース属性 アカウント名
キュー名
要求属性
プリンシパル属性のサポート 正しい

メッセージを取得または削除する

プロパティ 先頭値
表示名 メッセージを取得または削除する
**説明** メッセージを取得または削除するための DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action
リソース属性 アカウント名
キュー名
要求属性
プリンシパル属性のサポート 正しい

Azure Queue Storage の属性

このセクションでは、ターゲットとするアクションに応じて、条件式で使用できる Azure Queue Storage 属性の一覧を示します。 1 つの条件に対して複数のアクションを選択した場合、属性は、選択したすべてのアクションに対して使用できる必要があるため、その条件に対して選択できる属性の数は少なくなる場合があります。

Note

表示されている属性と値は、特に明記されていない限り、大文字と小文字が区別されません。

次の表は、ソース別に使用可能な属性をまとめたものです。

Attribute Source Display name 説明
Environment
プライベート リンク アクセスがプライベート リンク経由であるかどうか
プライベート エンドポイント オブジェクトへのアクセスで経由するプライベート エンドポイント
サブネット オブジェクトへのアクセスで経由するサブネット
UTC 現在 協定世界時による現在の日付と時刻
リソース
アカウント名 ストレージ アカウント名
キュー名 ストレージ キュー名

アカウント名

プロパティ 先頭値
表示名 アカウント名
説明 ストレージ アカウントの名前。
属性 Microsoft.Storage/storageAccounts:name
Attribute source (属性ソース) リソース
属性の型 String
使用例 @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
プロパティ 先頭値
表示名 Is private link (プライベート リンクかどうか)
説明 アクセスがプライベート リンク経由であるかどうか。
任意のプライベート エンドポイント経由のアクセスを要求するために使用します。
属性 isPrivateLink
Attribute source (属性ソース) 環境
属性の型 Boolean
使用例 @Environment[isPrivateLink] BoolEquals true
例: 機密情報を含む BLOB を読み取るためにプライベート リンク アクセスを要求します
詳細情報 Azure Storage のプライベート エンドポイントを使用する

プライベート エンドポイント

プロパティ 先頭値
表示名 プライベート エンドポイント
説明 オブジェクトへのアクセスで経由するプライベート エンドポイント。
特定のプライベート エンドポイント経由にアクセスを制限するために使用します。
少なくとも 1 つのプライベート エンドポイントが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。
属性 Microsoft.Network/privateEndpoints
Attribute source (属性ソース) 環境
属性の型 String
使用例 @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
例: 特定のプライベート エンドポイントからのみコンテナーへの読み取りアクセスを許可します
詳細情報 Azure Storage のプライベート エンドポイントを使用する

キュー名

プロパティ 先頭値
表示名 キュー名
**説明** ストレージ キューの名前。
属性 Microsoft.Storage/storageAccounts/queueServices/queues:name
Attribute source (属性ソース) リソース
属性の型 String

サブネット

プロパティ 先頭値
表示名 Subnet
説明 オブジェクトへのアクセスで経由するサブネット。
特定のサブネットにアクセスを制限するために使用します。
少なくとも 1 つの仮想ネットワーク サブネットが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。
属性 Microsoft.Network/virtualNetworks/subnets
Attribute source (属性ソース) 環境
属性の型 String
使用例 @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
例: 特定のサブネットから特定のコンテナー内の BLOB へのアクセスを許可します
詳細情報 サブネット

UTC 現在

プロパティ 先頭値
表示名 UTC 現在
説明 協定世界時による現在の日付と時刻。
特定の日付と期間のオブジェクトへのアクセスを制御するために使用します。
属性 UtcNow
Attribute source (属性ソース) 環境
属性の型 DateTime
(DateTimeGreaterThan DateTimeLessThan 演算子のみが [UTC 現在] 属性でサポートされています)。
使用例 @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'
例: 特定の日付と時刻の後に BLOB への読み取りアクセスを許可します

こちらもご覧ください