Blob Depolama için örnek Azure rol atama koşulları

Makale
04/01/2024

Bu makalede, Azure Blob Depolama erişimi denetlemeye yönelik rol atama koşullarına ilişkin bazı örnekler listeleniyor.

Önemli

Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için bkz. Azure Depolama koşul özelliklerinin durumu.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Önkoşullar

Rol atama koşullarını ekleme veya düzenleme önkoşulları hakkında bilgi için bkz . Koşullar önkoşulları.

Bu makaledeki örneklerin özeti

ABAC senaryonuza uygun bir örneği hızla bulmak için aşağıdaki tabloyu kullanın. Tablo senaryonun kısa bir açıklamasının yanı sıra örnekte kaynağa (ortam, sorumlu, istek ve kaynak) göre kullanılan özniteliklerin listesini içerir.

Örnek	Ortam	Asıl	İstek	Kaynak
Blob dizin etiketiyle blobları okuma				tags
Yeni bloblar blob dizin etiketi içermelidir			tags
Mevcut blobların blob dizin etiketi anahtarları olmalıdır			tags
Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır			tags
Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme				kapsayıcı adı
Adlandırılmış kapsayıcılardaki blobları bir yol ile okuma				kapsayıcı adı blob yolu
Adlandırılmış kapsayıcılardaki blobları bir yol ile okuma veya listeleme			blob ön eki	kapsayıcı adı blob yolu
Adlandırılmış kapsayıcılarda bir yol ile blob yazma				kapsayıcı adı blob yolu
Blob dizin etiketi ve yolu olan blobları okuma				etiketler blob yolu
Kapsayıcıdaki blobları belirli meta verilere sahip okuma				kapsayıcı meta verileri
Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme				kapsayıcı meta verileri
Salt okunur geçerli blob sürümleri				isCurrentVersion
Geçerli blob sürümlerini ve belirli bir blob sürümünü okuma			versionId	isCurrentVersion
Eski blob sürümlerini silme			versionId
Geçerli blob sürümlerini ve blob anlık görüntülerini okuma			anlık görüntü	isCurrentVersion
Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver			liste blobu ekleme
Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama			liste blobu ekleme
Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları				isHnsEnabled
Belirli şifreleme kapsamlarına sahip blobları okuma				Şifreleme kapsamı adı
Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma				Depolama hesap adı Şifreleme kapsamı adı
Blob dizin etiketlerini ve özel güvenlik özniteliklerini temel alan blobları okuma veya yazma		Kimlik	tags	tags
Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma		Kimlik		tags
Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme	UtcNow			kapsayıcı adı
Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme	Alt ağ			kapsayıcı adı
Yüksek hassasiyete sahip okuma bloblarına özel bağlantı erişimi gerektirme	isPrivateLink			tags
Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme	Özel uç nokta			kapsayıcı adı
Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver	Özel uç nokta	Kimlik		tags

Blob dizin etiketleri

Bu bölümde blob dizin etiketleriyle ilgili örnekler yer alır.

Önemli

Alt çalışma şu anda ABAC özellik önizlemesi sırasında uygulanan koşullarla uyumluluk için desteklense Read content from a blob with tag conditions de kullanım dışı bırakılmıştır ve Microsoft bunun yerine eylemin Read a blob kullanılmasını önerir.

Azure portalında ABAC koşullarını yapılandırırken KULLANıM DıŞı: Etiket koşullarına sahip bir blobdan içerik okuma makalesini görebilirsiniz. Microsoft, işlemin kaldırılmasını ve eylemiyle değiştirilmesini Read a blob önerir.

Okuma erişimini etiket koşullarına göre kısıtlamak istediğiniz kendi koşulunuzu yazarsanız lütfen Örnek: Blob dizin etiketine sahip blobları okuma bölümüne bakın.

Örnek: Blob dizin etiketiyle blobları okuma

Bu koşul, kullanıcıların Blob dizin etiketi anahtarı Project ve Cascade değeri olan blobları okumasına olanak tanır. Bu anahtar-değer etiketi olmadan bloblara erişme girişimlerine izin verilmez.

Bu koşulun bir güvenlik sorumlusu için etkili olması için, bunu aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir:

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Blob dizin etiketiyle bloblara okuma erişimini gösteren koşul diyagramı.

Koşul, Azure portalı veya Azure PowerShell kullanılarak rol atamasına eklenebilir. Portalda ABAC koşulları oluşturmaya yönelik iki araç vardır: görsel düzenleyici ve kod düzenleyicisi. Koşullarınızı farklı görünümlerde görmek için Azure portalındaki iki düzenleyici arasında geçiş yapabilirsiniz. Tercih ettiğiniz portal düzenleyicisine yönelik örnekleri görüntülemek için Görsel düzenleyici sekmesiyle Kod düzenleyicisi sekmeleri arasında geçiş yapın.

Azure portalı görsel düzenleyicisini kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
Anahtar	{keyName}
Operatör	StringEquals
Değer	{keyValue}

Kod düzenleyicisini kullanarak koşulu eklemek için koşul kodu örneğini kopyalayın ve kod düzenleyicisine yapıştırın. Kodunuzu girdikten sonra doğrulamak için görsel düzenleyiciye geri dönün.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri blob dizin etiketini denetleen ifadeye göre daha fazla değerlendirilir.

Kullanıcı, atanan rolde koşul tarafından kısıtlanmış bir eylem olmayan bir eylem gerçekleştirmeye çalışırsa, !(ActionMatches) true olarak değerlendirilir ve genel koşul true olarak değerlendirilir. Bu sonuç eylemin gerçekleştirilmesini sağlar.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Örnek: Yeni bloblar bir blob dizin etiketi içermelidir

Bu koşul, tüm yeni blobların Project'in blob dizin etiketi anahtarını ve Cascade değerini içermesini gerektirir.

Yeni bloblar oluşturmanıza olanak sağlayan iki eylem vardır, bu nedenle her ikisini de hedeflemeniz gerekir. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir:

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Yeni blobları gösteren koşul diyagramı bir blob dizin etiketi içermelidir.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketleriyle bloba yazma
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
Anahtar	{keyName}
Operatör	StringEquals
Değer	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Örnek: Mevcut blobların blob dizin etiketi anahtarları olmalıdır

Bu koşul, mevcut blobların izin verilen blob dizini etiket anahtarlarından en az biriyle etiketlenmiş olmasını gerektirir: Project veya Program. Bu koşul, mevcut bloblara idare eklemek için kullanışlıdır.

Mevcut bloblardaki etiketleri güncelleştirmenize olanak sağlayan iki eylem vardır, bu nedenle her ikisini de hedeflemeniz gerekir. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir:

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Mevcut blobların blob dizin etiketi anahtarları olması gerektiğini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketlerini yazma
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtarlar]
Operatör	ForAllOfAnyValues:StringEquals
Değer	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Örnek: Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır

Bu koşul, mevcut blobların Project blob dizin etiketi anahtarına ve Cascade, Baker veya Skagit değerlerine sahip olmasını gerektirir. Bu koşul, mevcut bloblara idare eklemek için kullanışlıdır.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Mevcut blobların blob dizin etiketi anahtarına ve değerlerine sahip olması gerektiğini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketlerini yazma
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtarlar]
Operatör	ForAnyOfAnyValues:StringEquals
Değer	{keyName}
Operatör	And
Expression 2
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
Anahtar	{keyName}
Operatör	ForAllOfAnyValues:StringEquals
Değer	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Blob kapsayıcı adları veya yolları

Bu bölüm, kapsayıcı adına veya blob yoluna göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme

Bu koşul kullanıcıların blobs-example-container adlı depolama kapsayıcılarındaki blobları okumasına, yazmasına veya silmesine olanak tanır. Bu koşul, belirli depolama kapsayıcılarını abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Mevcut blobları okumak, yazmak ve silmek için beş eylem vardır. Bu koşulu, aşağıdaki eylemlerden birini içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Alt çalışma yalnızca etiketlere göre koşullar yazıldığında gerektiğinden, alt işler bu koşulda kullanılmaz.

Adlandırılmış kapsayıcılardaki okuma, yazma veya silme bloblarını gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blob silme Blobu okuma Bloba yazma Blob veya anlık görüntü oluşturma veya veri ekleme Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}

Depolama Blob Verileri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Depolama Blobu Veri Katılımcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Örnek: Adlandırılmış kapsayıcılardaki blobları yol ile okuma

Bu koşul, blob yolu readonly/* olan blobs-example-container adlı depolama kapsayıcılarına okuma erişimi sağlar. Bu koşul, okuma erişimi için depolama kapsayıcılarının belirli bölümlerini abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
Expression 2
Operatör	And
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringLike
Değer	{pathString}

Depolama Blob Verileri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Blob Veri Okuyucusu Depolama Depolama Blob Veri Katkıda Bulunanı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Bir Liste Blobları işlemine izin verilir, ancak diğer tüm okuma eylemleri kapsayıcı adını ve yolunu denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Örnek: Yolu olan adlandırılmış kapsayıcılardaki blobları okuma veya listeleme

Bu koşul okuma erişimine izin verir ve ayrıca blob yolu salt okunur/* olan blobs-example-container adlı depolama kapsayıcılarına erişimi listeler. Koşul 1, liste blobları hariç okuma eylemleri için geçerlidir. Koşul 2, liste blobları için geçerlidir. Bu koşul, okuma veya liste erişimi için depolama kapsayıcılarının belirli bölümlerini abonelikteki diğer kullanıcılarla paylaşmak için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara okuma ve listeleme erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Not

Azure portalı kapsayıcının kök dizinindeki blobları listelemek için prefix='' kullanır. Koşul, StringStartsWith 'readonly/' ön eki kullanılarak blobları listeleme işlemiyle eklendikten sonra, hedeflenen kullanıcılar Azure portalında kapsayıcının kök dizininden blobları listeleyemez.

Koşul #1	Ayar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
Expression 2
Operatör	And
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringStartsWith
Değer	{pathString}

Koşul #2	Ayar
Eylemler	Blobları listeleme Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
Expression 2
Operatör	And
Öznitelik kaynağı	İstek
Öznitelik	Blob ön eki
Operatör	StringStartsWith
Değer	{pathString}

Depolama Blob Verileri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Blob Veri Okuyucusu Depolama Depolama Blob Veri Katkıda Bulunanı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Adlandırılmış kapsayıcılara yolu olan bloblar yazma

Bu koşul, iş ortağının (Microsoft Entra konuk kullanıcısı) karşıya yükleme/contoso/* yoluyla Contosocorp adlı depolama kapsayıcılarına dosya bırakmasına olanak tanır. Bu koşul, diğer kullanıcıların depolama kapsayıcılarına veri yerleştirmesine izin vermek için kullanışlıdır.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Yol içeren adlandırılmış kapsayıcılardaki bloblara yazma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Bloba yazma Blob veya anlık görüntü oluşturma veya veri ekleme Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı adı
Operatör	StringEquals
Değer	{containerName}
Expression 2
Operatör	And
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringLike
Değer	{pathString}

Depolama Blob Verileri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Depolama Blobu Veri Katılımcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Örnek: Blob dizin etiketi ve yolu olan blobları okuma

Bu koşul, kullanıcının Program blob dizin etiketi anahtarı, Alpine değeri ve günlüklerin blob yolu* ile blobları okumasına olanak tanır. Günlüklerin blob yolu* blob adını da içerir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Blob dizin etiketi ve yolu olan bloblara okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
Anahtar	{keyName}
Operatör	StringEquals
Değer	{keyValue}

Koşul #2	Ayar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Blob yolu
Operatör	StringLike
Değer	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri blob dizin etiketini ve yolunu denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Bu koşulu şu şekilde test edin.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Blob kapsayıcı meta verileri

Örnek: Kapsayıcıdaki blobları belirli meta verilerle okuma

Bu koşul, kullanıcıların belirli bir meta veri anahtarı/değer çifti ile blob kapsayıcılarındaki blobları okumasına olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı meta verileri
Operatör	StringEquals
Değer	{containerName}

Depolama Blob Verileri Okuyucusu

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme

Bu koşul, kullanıcıların belirli bir meta veri anahtarı/değer çiftine sahip blob kapsayıcılarında blob yazmasına veya silmesine olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Bloba yazma Blob silme
Öznitelik kaynağı	Kaynak
Öznitelik	Kapsayıcı meta verileri
Operatör	StringEquals
Değer	{containerName}

Depolama Blobu Veri Katılımcısı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak bu koşulu ekleme burada açıklanmaktadır.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Blob sürümleri veya blob anlık görüntüleri

Bu bölüm, blob sürümüne veya anlık görüntüye göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Salt okunur geçerli blob sürümleri

Bu koşul, kullanıcının yalnızca geçerli blob sürümlerini okumasına olanak tanır. Kullanıcı diğer blob sürümlerini okuyamaz.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Yalnızca geçerli blob sürümüne okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Geçerli Sürümdür
Operatör	BoolEquals
Değer	True

Depolama Blob Verileri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Blob Veri Okuyucusu Depolama Depolama Blob Veri Katkıda Bulunanı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri sürümü denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Geçerli blob sürümlerini ve belirli bir blob sürümünü okuma

Bu koşul, kullanıcının geçerli blob sürümlerini okumasına ve 2022-06-01T23:38:8883645Z sürüm kimliğine sahip blobları okumasına olanak tanır. Kullanıcı diğer blob sürümlerini okuyamaz. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Belirli bir blob sürümüne okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma
Öznitelik kaynağı	İstek
Öznitelik	Sürüm Kimliği
Operatör	DateTimeEquals
Değer	<blobVersionId>
Expression 2
Operatör	Or
Öznitelik kaynağı	Kaynak
Öznitelik	Geçerli Sürümdür
Operatör	BoolEquals
Değer	True

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri sürüm bilgilerini denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Eski blob sürümlerini silme

Bu koşul, kullanıcının temizleme gerçekleştirmek için blobun 06.01.2022'den eski sürümlerini silmesine olanak tanır. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Eski blob sürümlerine silme erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blob silme Blobun sürümünü silme
Öznitelik kaynağı	İstek
Öznitelik	Sürüm Kimliği
Operatör	DateTimeLessThan
Değer	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Geçerli blob sürümlerini ve blob anlık görüntülerini okuma

Bu koşul, kullanıcının geçerli blob sürümlerini ve tüm blob anlık görüntülerini okumasına olanak tanır. Sürüm Kimliği özniteliği yalnızca hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir. Snapshot özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir ve şu anda hiyerarşik ad alanının etkinleştirildiği depolama hesapları için önizleme aşamasındadır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Geçerli blob sürümlerine ve blob anlık görüntülerine okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	İstek
Öznitelik	Anlık Görüntü
Exists	Kontrol
Expression 2
Operatör	Or
Öznitelik kaynağı	Kaynak
Öznitelik	Geçerli Sürümdür
Operatör	BoolEquals
Değer	True

Depolama Blob Verileri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Blob Veri Okuyucusu Depolama Depolama Blob Veri Katkıda Bulunanı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Bir Liste Blobları işlemine izin verilir, ancak diğer tüm okuma eylemleri sürüm ve anlık görüntü bilgilerini denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver

Bu koşul, kullanıcının kapsayıcıdaki blobları listelemesine ve meta verileri, anlık görüntüyü ve sürüm bilgilerini eklemesine olanak tanır. Liste blobları ekleme özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Not

Liste blobları bir istek özniteliğidir ve List Blobs işlemi çağrılırken parametredeki include değerlere izin vererek veya bunları kısıtlayarak çalışır. parametresindeki include değerler, çapraz ürün karşılaştırma işleçleri kullanılarak koşulda belirtilen değerlerle karşılaştırılır. Karşılaştırma true olarak değerlendirilirse isteğe List Blobs izin verilir. Karşılaştırma false olarak değerlendirilirse istek List Blobs reddedilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobları listeleme
Öznitelik kaynağı	İstek
Öznitelik	Liste blobları şunlardır:
Operatör	ForAllOfAnyValues:StringEqualsIgnoreCase
Değer	{'metadata', 'snapshots', 'versions'}

Depolama Blob Verileri Okuyucusu

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

Bu örnekte koşul, alt çalışma olduğunda Blob.Listokuma eylemini kısıtlar. Bu, Bir Liste Blobları işleminin değerleri denetleen ifadeye göre daha fazla değerlendirildiğini ancak diğer tüm okuma eylemlerine include izin verildiğini gösterir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama

Bu koşul, isteğe meta veriler eklendiğinde kullanıcının blobları listelemesini kısıtlar. Liste blobları ekleme özniteliği, hiyerarşik ad alanının etkinleştirilmediği depolama hesapları için kullanılabilir.

Not

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobları listeleme
Öznitelik kaynağı	İstek
Öznitelik	Liste blobları şunlardır:
Operatör	ForAllOfAllValues:StringNotEquals
Değer	{'metadata'}

Depolama Blob Verileri Okuyucusu

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Hiyerarşik ad alanı

Bu bölüm, depolama hesabı için hiyerarşik ad alanının etkinleştirilip etkinleştirilmediğine bağlı olarak nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları

Bu koşul, kullanıcının yalnızca hiyerarşik ad alanı etkin depolama hesaplarındaki blobları okumasına olanak tanır. Bu koşul yalnızca kaynak grubu kapsamında veya üstünde geçerlidir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Hiyerarşik ad alanı etkin depolama hesaplarına okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma Hiyerarşik ad alanı etkinleştirilmiş hesaplar için tüm veri işlemleri (varsa)
Öznitelik kaynağı	Kaynak
Öznitelik	Hiyerarşik ad alanı etkin mi?
Operatör	BoolEquals
Değer	True

Depolama Blob Verileri Sahibi

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Blob Veri Okuyucusu Depolama Depolama Blob Veri Katkıda Bulunanı

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Bir Liste Blobları işlemine izin verilir, ancak diğer tüm okuma eylemleri hiyerarşik ad alanını denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Şifreleme kapsamı

Bu bölüm, onaylı bir şifreleme kapsamına sahip nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Belirli şifreleme kapsamlarına sahip blobları okuma

Bu koşul, kullanıcının şifreleme kapsamı validScope1 veya validScope2ile şifrelenmiş blobları okumasına olanak tanır.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Şifreleme kapsamı validScope1 veya validScope2 olan bloblara okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Şifreleme kapsamı adı
Operatör	ForAnyOfAnyValues:StringEquals
Değer	<Scopename>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri şifreleme kapsamlarını denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma

Bu koşul, kullanıcının adlı sampleaccount ve şifreleme kapsamıyla ScopeCustomKey1şifrelenmiş bir depolama hesabındaki blobları okumasına veya yazmasına olanak tanır. Bloblar ile ScopeCustomKey1şifrelenmemişse veya şifresi çözülmezse, istek yasak değerini döndürür.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Not

Farklı depolama hesapları için şifreleme kapsamları farklı olabileceğinden, belirli şifreleme kapsamının izin verileceği şekilde kısıtlamak için özniteliğinin özniteliğiyle encryptionScopes:name kullanılması storageAccounts:name önerilir.

Şifreleme kapsamı ScopeCustomKey1 ile sampleaccount depolama hesabındaki bloblara okuma veya yazma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blobu okuma Bloba yazma Blob veya anlık görüntü oluşturma veya veri ekleme
Öznitelik kaynağı	Kaynak
Öznitelik	Hesap adı
Operatör	StringEquals
Değer	<Accountname>
Expression 2
Operatör	And
Öznitelik kaynağı	Kaynak
Öznitelik	Şifreleme kapsamı adı
Operatör	ForAnyOfAnyValues:StringEquals
Değer	<Scopename>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Asıl öznitelikler

Bu bölüm, özel güvenlik sorumlularına göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Blob dizin etiketlerini ve özel güvenlik özniteliklerini temel alan blobları okuma veya yazma

Bu koşul, kullanıcının blob dizin etiketiyle eşleşen özel bir güvenlik özniteliği varsa bloblara okuma veya yazma erişimi sağlar.

Örneğin, Brenda özniteliğine Project=Bakersahipse blob dizin etiketiyle Project=Baker yalnızca blobları okuyabilir veya yazabilir. Benzer şekilde, Chandra ile blobları Project=Cascadeyalnızca okuyabilir veya yazabilir.

Bu koşulu, aşağıdaki eylemleri içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Daha fazla bilgi için bkz . Etiketlere ve özel güvenlik özniteliklerine göre bloblara okuma erişimine izin verme.

Blob dizin etiketlerine ve özel güvenlik özniteliklerine göre bloblara okuma veya yazma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blob koşullarını okuma
Öznitelik kaynağı	Asıl
Öznitelik	<attributeset>_<key>
Operatör	StringEquals
Seçenek	Öznitelik
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
Anahtar	<key>

Koşul #2	Ayar
Eylemler	Blob dizin etiketleriyle bloba yazma Blob dizin etiketleriyle bloba yazma
Öznitelik kaynağı	Asıl
Öznitelik	<attributeset>_<key>
Operatör	StringEquals
Seçenek	Öznitelik
Öznitelik kaynağı	İstek
Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
Anahtar	<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Örnek: Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma

Bu koşul, kullanıcının blob dizin etiketiyle eşleşen herhangi bir değere sahip özel bir güvenlik özniteliği varsa bloblara okuma erişimi sağlar.

Örneğin Chandra, Baker ve Cascade değerlerine sahip Project özniteliğine sahipse yalnızca veya Project=Cascade blob dizin etiketine Project=Baker sahip blobları okuyabilir.

Bu koşulu, aşağıdaki eylemi içeren tüm rol atamalarına eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Daha fazla bilgi için bkz . Etiketlere ve özel güvenlik özniteliklerine göre bloblara okuma erişimine izin verme.

Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alarak bloblara okuma erişimini gösteren koşul diyagramı.

Azure portalını kullanarak bu koşulu eklemek için gereken ayarlar aşağıdadır.

Koşul #1	Ayar
Eylemler	Blob koşullarını okuma
Öznitelik kaynağı	Kaynak
Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
Anahtar	<key>
Operatör	ForAnyOfAnyValues:StringEquals
Seçenek	Öznitelik
Öznitelik kaynağı	Asıl
Öznitelik	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Bu örnekte koşul, alt işlemin Blob.Listolduğu durumlar dışında okuma eylemini kısıtlar. Başka bir deyişle, Blobları Listele işlemine izin verilir, ancak diğer tüm okuma eylemleri blob dizini etiketlerini ve özel güvenlik özniteliklerini denetleen ifadeye göre daha fazla değerlendirilir.

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Ortam öznitelikleri

Bu bölüm, ağ ortamına veya geçerli tarih ve saate göre nesnelere erişimi kısıtlamayı gösteren örnekler içerir.

Örnek: Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme

Bu koşul, blob kapsayıcısına container1 yalnızca 1 Mayıs 2023 Evrensel Eşgüdümlü Saat (UTC) saat 13:00'den sonra okuma erişimi sağlar.

Mevcut blobları okumak için iki olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi en üst düzey Tüm okuma işlemleri eylemini veya diğer alt işlemleri seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Ayar Value

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringEquals

Değer container1

Mantıksal işleç 'VE'

Öznitelik kaynağı Ortam

Öznitelik UtcNow

Operatör DateTimeGreaterThan

Değer 2023-05-01T13:00:00.000Z

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Kod düzenleyicisini kullanarak koşulu eklemek için aşağıdaki koşul kodu örneğini kopyalayın ve kod düzenleyicisine yapıştırın. Kodunuzu girdikten sonra doğrulamak için görsel düzenleyiciye geri dönün.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blob Veri Okuyucusu rolü için bu koşulu şu şekilde ekleyebilirsiniz.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme

Bu koşul yalnızca sanal ağdaki alt ağdan default virtualnetwork1bloblara container1 okuma, yazma, ekleme ve silme erişimi sağlar. Bu örnekte Subnet özniteliğini kullanmak için alt ağda Azure Depolama için hizmet uç noktaları etkinleştirilmiş olmalıdır.

Mevcut bloblara okuma, yazma, ekleme ve silme erişimi için beş olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Eylem ekle

Eylem ekle'yi ve ardından yalnızca aşağıdaki tabloda gösterilen en üst düzey eylemleri seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Yok
Bloba yazma	Yok
Blob veya anlık görüntü oluşturma veya veri ekleme	Yok
Blobu silme	Yok

Aşağıdaki görüntüde gösterildiği gibi tek tek alt işlem seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Ayar Value

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringEquals

Değer container1

Mantıksal işleç 'VE'

Öznitelik kaynağı Ortam

Öznitelik Alt ağ

Operatör StringEqualsIgnoreCase

Değer /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blob Veri Katkıda Bulunanı rolü için bu koşulu ekleme burada açıklanmaktadır.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Yüksek hassasiyete sahip okuma blobları için özel bağlantı erişimi gerektir

Bu koşul, blob dizin etiketi duyarlılığının özel bağlantı (herhangi bir özel bağlantı) üzerinden olması gereken bir değere high sahip olduğu blobları okuma isteklerini gerektirir. Bu, yüksek oranda hassas blobları genel İnternet'ten okuma girişimlerine izin verilmeyeceği anlamına gelir. Kullanıcılar, genel İnternet'ten duyarlılık değeri dışında highbir değere ayarlanmış blobları okuyabilir.

Bu ABAC örnek koşulu için bir doğruluk tablosu aşağıdaki gibidir:

Eylem	Duyarlılık	Özel bağlantı	Erişim
Blobu okuma	Yüksek	Evet	İzin Verilir
Blobu okuma	Yüksek	Hayır	İzin Verilmez
Blobu okuma	YÜKSEK DEĞİl	Evet	İzin Verilir
Blobu okuma	YÜKSEK DEĞİl	Hayır	İzin Verilir

Eylem Notlar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi diğer alt işlemlerin en üst düzey Tüm okuma işlemleri eylemini seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup Ayar Value

Grup #1

Öznitelik kaynağı Kaynak

Öznitelik Blob dizin etiketleri [Anahtardaki değerler]

Anahtar sensitivity

Operatör StringEquals

Değer high

Mantıksal işleç 'VE'

Öznitelik kaynağı Ortam

Öznitelik Özel bağlantıdır

Operatör BoolEquals

Değer True

Grup Sonu #1

Mantıksal işleç 'VEYA'

Öznitelik kaynağı Kaynak

Öznitelik Blob dizin etiketleri [Anahtardaki değerler]

Anahtar sensitivity

Operatör StringNotEquals

Değer high

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blob Veri Okuyucusu rolü için bu koşulu şu şekilde ekleyebilirsiniz.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme

Bu koşul, adlı container1 bir depolama kapsayıcısında bloblar için tüm okuma, yazma, ekleme ve silme işlemlerinin adlı privateendpoint1özel uç nokta aracılığıyla yapılmasını gerektirir. adlı container1diğer tüm kapsayıcılar için erişimin özel uç nokta üzerinden olması gerekmez.

Mevcut blobları okumak, yazmak ve silmek için beş olası eylem vardır. Bu koşulu birden çok rol ataması olan sorumlular için etkili hale getirmek için, aşağıdaki eylemlerden herhangi birini içeren tüm rol atamalarına bu koşulu eklemeniz gerekir.

Eylem	Notlar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin. Bu koşula dahil edilen depolama hesaplarında hiyerarşik ad alanı etkinleştirilip etkinleştirilmediğini veya gelecekte etkinleştirilip etkinleştirilmeyebileceğini ekleyin.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi ve ardından yalnızca aşağıdaki tabloda gösterilen en üst düzey eylemleri seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Yok
Bloba yazma	Yok
Blob veya anlık görüntü oluşturma veya veri ekleme	Yok
Blobu silme	Yok

Aşağıdaki görüntüde gösterildiği gibi tek tek alt işlem seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup Ayar Value

Grup #1

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringEquals

Değer container1

Mantıksal işleç 'VE'

Öznitelik kaynağı Ortam

Öznitelik Özel uç nokta

Operatör StringEqualsIgnoreCase

Değer /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Grup Sonu #1

Mantıksal işleç 'VEYA'

Öznitelik kaynağı Kaynak

Öznitelik Kapsayıcı adı

Operatör StringNotEquals

Değer container1

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

Kod düzenleyicisini kullanarak koşulu eklemek için, atamayla ilişkili role bağlı olarak aşağıdaki koşul kodu örneklerinden birini seçin. Kodunuzu girdikten sonra doğrulamak için görsel düzenleyiciye geri dönün.

Depolama Blob Verileri Sahibi:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Depolama Blob Verileri Katkıda Bulunanı:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blob Veri Katkıda Bulunanı rolü için bu koşulu ekleme burada açıklanmaktadır.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver

Bu koşul, dizin etiketi duyarlılığı ayarlanmış high blobların yalnızca duyarlılık güvenlik özniteliği için eşleşen bir değere sahip kullanıcılar tarafından okunabilmesini gerektirir. Ayrıca, bunlara adlı privateendpoint1özel bir uç nokta üzerinden erişilmesi gerekir. Duyarlılık etiketi için farklı bir değere sahip bloblara diğer uç noktalar veya İnternet üzerinden erişilebilir.

Eylem Notlar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Rol tanımının blob veri sahibi Depolama gibi bu eylemi içerip içermediğini ekleyin.

Azure portalındaki görsel koşul düzenleyicisini kullanarak bu koşulu eklemeye ilişkin ayarlar aşağıdadır.

Eylem ekle

Eylem ekle'yi seçin ve ardından aşağıdaki tabloda gösterildiği gibi yalnızca Blob okuma alt işlemini seçin.

Eylem	Alt çalışma
Tüm okuma işlemleri	Blobu okuma

Aşağıdaki görüntüde gösterildiği gibi en üst düzey eylemi seçmeyin:

İfade oluştur

Koşulun ifade bölümünü oluşturmak için aşağıdaki tabloda yer alan değerleri kullanın:

Grup	Ayar	Value
Grup #1
	Öznitelik kaynağı	Asıl
	Öznitelik	<attributeset>_<key>
	Operatör	StringEquals
	Seçenek	Öznitelik
	Mantıksal işleç	'VE'
	Öznitelik kaynağı	Kaynak
	Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
	Anahtar	<key>
	Mantıksal işleç	'VE'
	Öznitelik kaynağı	Ortam
	Öznitelik	Özel uç nokta
	Operatör	StringEqualsIgnoreCase
	Değer	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Grup Sonu #1
	Mantıksal işleç	'VEYA'
	Öznitelik kaynağı	Kaynak
	Öznitelik	Blob dizin etiketleri [Anahtardaki değerler]
	Anahtar	`sensitivity`
	Operatör	StringNotEquals
	Değer	`high`

Aşağıdaki görüntüde, ayarlar Azure portalına girildikten sonraki koşul gösterilmektedir. Doğru değerlendirmeyi sağlamak için ifadeleri gruplandırmalısınız.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Koşulların nasıl biçimlendirildiğini ve değerlendirildiğini öğrenmek için bkz . Koşullar biçimi.

Azure PowerShell kullanarak Depolama Blob Veri Okuyucusu rolü için bu koşulu şu şekilde ekleyebilirsiniz.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Aracılığıyla paylaş

Blob Depolama için örnek Azure rol atama koşulları

Önkoşullar

Bu makaledeki örneklerin özeti

Blob dizin etiketleri

Örnek: Blob dizin etiketiyle blobları okuma

Örnek: Yeni bloblar bir blob dizin etiketi içermelidir

Örnek: Mevcut blobların blob dizin etiketi anahtarları olmalıdır

Örnek: Mevcut blobların blob dizin etiketi anahtarı ve değerleri olmalıdır

Blob kapsayıcı adları veya yolları

Örnek: Adlandırılmış kapsayıcılardaki blobları okuma, yazma veya silme

Örnek: Adlandırılmış kapsayıcılardaki blobları yol ile okuma

Örnek: Yolu olan adlandırılmış kapsayıcılardaki blobları okuma veya listeleme

Örnek: Adlandırılmış kapsayıcılara yolu olan bloblar yazma

Örnek: Blob dizin etiketi ve yolu olan blobları okuma

Blob kapsayıcı meta verileri

Örnek: Kapsayıcıdaki blobları belirli meta verilerle okuma

Örnek: Kapsayıcıda belirli meta verilere sahip blobları yazma veya silme

Blob sürümleri veya blob anlık görüntüleri

Örnek: Salt okunur geçerli blob sürümleri

Örnek: Geçerli blob sürümlerini ve belirli bir blob sürümünü okuma

Örnek: Eski blob sürümlerini silme

Örnek: Geçerli blob sürümlerini ve blob anlık görüntülerini okuma

Örnek: Liste blobu işleminin blob meta verilerini, anlık görüntülerini veya sürümlerini içermesine izin ver

Örnek: Liste blobu işlemini blob meta verilerini içermeyecek şekilde kısıtlama

Hiyerarşik ad alanı

Örnek: Hiyerarşik ad alanı etkinleştirilmiş salt okunur depolama hesapları

Şifreleme kapsamı

Örnek: Belirli şifreleme kapsamlarına sahip blobları okuma

Örnek: Belirli bir şifreleme kapsamına sahip adlandırılmış depolama hesabında blobları okuma veya yazma

Asıl öznitelikler

Örnek: Blob dizin etiketlerini ve özel güvenlik özniteliklerini temel alan blobları okuma veya yazma

Örnek: Blob dizin etiketlerini ve çok değerli özel güvenlik özniteliklerini temel alan blobları okuma

Ortam öznitelikleri

Örnek: Belirli bir tarih ve saatten sonra bloblara okuma erişimine izin verme

Eylem ekle

İfade oluştur

Örnek: Belirli bir alt ağdan belirli kapsayıcılardaki bloblara erişime izin verme

Eylem ekle

İfade oluştur

Örnek: Yüksek hassasiyete sahip okuma blobları için özel bağlantı erişimi gerektir

Eylem ekle

İfade oluştur

Örnek: Kapsayıcıya yalnızca belirli bir özel uç noktadan erişim izni verme

Eylem ekle

İfade oluştur

Örnek: Yüksek oranda hassas blob verilerine yalnızca belirli bir özel uç noktadan ve erişim için etiketlenmiş kullanıcılar tarafından okuma erişimine izin ver

Eylem ekle

İfade oluştur

Sonraki adımlar

Geri Bildirim

Ek kaynaklar