Voorbeeld van Voorwaarden voor Azure-roltoewijzing voor Blob Storage

In dit artikel vindt u enkele voorbeelden van roltoewijzingsvoorwaarden voor het beheren van de toegang tot Azure Blob Storage.

Belangrijk

Op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) is algemeen beschikbaar (GA) voor het beheren van de toegang tot Azure Blob Storage, Azure Data Lake Storage Gen2 en Azure Queues met behulp van request, resourceen environmentprincipal kenmerken in de prestatielagen standard en Premium Storage-account. Momenteel zijn het resourcekenmerk voor containermetagegevens en de lijst-blob inclusief het aanvraagkenmerk in PREVIEW. Zie Status van voorwaardefuncties in Azure Storage voor volledige informatie over de functiestatus van ABAC voor Azure Storage.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereisten

Zie Voorwaarden voor informatie over de vereisten voor het toevoegen of bewerken van voorwaarden voor roltoewijzing.

Overzicht van voorbeelden in dit artikel

Gebruik de volgende tabel om snel een voorbeeld te vinden dat past bij uw ABAC-scenario. De tabel bevat een korte beschrijving van het scenario, plus een lijst met kenmerken die worden gebruikt in het voorbeeld per bron (omgeving, principal, aanvraag en resource).

Opmerking	Omgeving	Principal	Aanvraag	Bron
Blobs lezen met een blobindextag				tags
Nieuwe blobs moeten een blobindextag bevatten			tags
Bestaande blobs moeten blob-indextagsleutels hebben			tags
Bestaande blobs moeten een sleutel en waarden voor de blob-indextag hebben			tags
Blobs lezen, schrijven of verwijderen in benoemde containers				containernaam
Blobs lezen in benoemde containers met een pad				blobpad containernaam
Blobs lezen of vermelden in benoemde containers met een pad			blobvoorvoegsel	blobpad containernaam
Blobs schrijven in benoemde containers met een pad				blobpad containernaam
Blobs lezen met een blobindextag en een pad				pad naar tags-blob
Blobs lezen in container met specifieke metagegevens				containermetagegevens
Blobs schrijven of verwijderen in een container met specifieke metagegevens				containermetagegevens
Alleen-lezen huidige blobversies				isCurrentVersion
Huidige blobversies en een specifieke blobversie lezen			versionId	isCurrentVersion
Oude blobversies verwijderen			versionId
Huidige blobversies en eventuele blobmomentopnamen lezen			momentopname	isCurrentVersion
Lijstblobbewerking toestaan om blobmetagegevens, momentopnamen of versies op te nemen			lijst-blob opnemen
Lijstblobbewerking beperken tot het niet opnemen van blobmetagegevens			lijst-blob opnemen
Alleen-lezen opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld				isHnsEnabled
Blobs lezen met specifieke versleutelingsbereiken				Naam van versleutelingsbereik
Blobs lezen of schrijven in benoemd opslagaccount met een specifiek versleutelingsbereik				Naam van versleutelingsbereik voor opslagaccount
Blobs lezen of schrijven op basis van blob-indextags en aangepaste beveiligingskenmerken		Id	tags	tags
Blobs lezen op basis van blob-indextags en aangepaste beveiligingskenmerken met meerdere waarden		Id		tags
Leestoegang tot blobs toestaan na een specifieke datum en tijd	UtcNow			containernaam
Toegang tot blobs in specifieke containers vanuit een specifiek subnet toestaan	Subnet			containernaam
Toegang tot private link vereisen om blobs met een hoge gevoeligheid te lezen	isPrivateLink			tags
Alleen toegang tot een container vanaf een specifiek privé-eindpunt toestaan	Privé-eindpunt			containernaam
Voorbeeld: Leestoegang tot zeer gevoelige blobgegevens alleen toestaan vanuit een specifiek privé-eindpunt en door gebruikers die zijn getagd voor toegang	Privé-eindpunt	Id		tags

Blob-indextags

Deze sectie bevat voorbeelden van blobindextags.

Belangrijk

Hoewel de Read content from a blob with tag conditions suboperation momenteel wordt ondersteund voor compatibiliteit met voorwaarden die zijn geïmplementeerd tijdens de preview van de ABAC-functie, is deze afgeschaft en raadt Microsoft aan de Read a blob actie te gebruiken.

Wanneer u ABAC-voorwaarden configureert in Azure Portal, ziet u mogelijk AFGESCHAFT: Inhoud lezen uit een blob met tagvoorwaarden. Microsoft raadt u aan de bewerking te verwijderen en deze te vervangen door de Read a blob actie.

Als u uw eigen voorwaarde ontwerpt waarin u leestoegang wilt beperken op basis van tagvoorwaarden, raadpleegt u Voorbeeld: blobs lezen met een blobindextag.

Voorbeeld: Blobs lezen met een blobindextag

Met deze voorwaarde kunnen gebruikers blobs lezen met een blob-indextagsleutel van Project en een waarde van Trapsgewijs. Pogingen om toegang te krijgen tot blobs zonder deze sleutelwaardetag is niet toegestaan.

Als u wilt dat deze voorwaarde effectief is voor een beveiligingsprincipaal, moet u deze toevoegen aan alle roltoewijzingen die de volgende acties bevatten:

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual-editor van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen
Kenmerkbron	Resource
Kenmerk	Blob-indextags [Waarden in sleutel]
Sleutel	{keyName}
Operator	StringEquals
Weergegeven als	{keyValue}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een lijst-blobs-bewerking is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie die controleert op de blobindextag.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx 

Voorbeeld: Nieuwe blobs moeten een blobindextag bevatten

Deze voorwaarde vereist dat nieuwe blobs een blob-indextagsleutel van Project en een waarde trapsgewijs bevatten.

Er zijn twee acties waarmee u nieuwe blobs kunt maken, dus u moet beide bereiken. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten:

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Schrijven naar een blob met blobindextags Schrijven naar een blob met blobindextags
Kenmerkbron	Aanvraag
Kenmerk	Blob-indextags [Waarden in sleutel]
Sleutel	{keyName}
Operator	StringEquals
Weergegeven als	{keyValue}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Voorbeeld: bestaande blobs moeten blob-indextagsleutels hebben

Deze voorwaarde vereist dat bestaande blobs worden gelabeld met ten minste één van de toegestane blob-indextagsleutels : Project of Program. Deze voorwaarde is handig voor het toevoegen van governance aan bestaande blobs.

Er zijn twee acties waarmee u tags op bestaande blobs kunt bijwerken, dus u moet zich op beide richten. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten:

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Schrijven naar een blob met blobindextags Blob-indextags schrijven
Kenmerkbron	Aanvraag
Kenmerk	Blob-indextags [Sleutels]
Operator	ForAllOfAnyValues:StringEquals
Weergegeven als	{keyName1} {keyName2}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Voorbeeld: Bestaande blobs moeten een sleutel en waarden voor de blob-indextag hebben

Voor deze voorwaarde is vereist dat bestaande blobs een blob-indextagsleutel hebben van Project en waarden van Cascade, Baker of Skagit. Deze voorwaarde is handig voor het toevoegen van governance aan bestaande blobs.

Er zijn twee acties waarmee u tags op bestaande blobs kunt bijwerken, dus u moet zich op beide richten. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Schrijven naar een blob met blobindextags Blob-indextags schrijven
Kenmerkbron	Aanvraag
Kenmerk	Blob-indextags [Sleutels]
Operator	ForAnyOfAnyValues:StringEquals
Weergegeven als	{keyName}
Operator	And
Expression 2
Kenmerkbron	Aanvraag
Kenmerk	Blob-indextags [Waarden in sleutel]
Sleutel	{keyName}
Operator	ForAllOfAnyValues:StringEquals
Weergegeven als	{keyValue1} {keyValue2} {keyValue3}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Namen of paden van blobcontainers

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van de containernaam of het blobpad.

Voorbeeld: Blobs lezen, schrijven of verwijderen in benoemde containers

Met deze voorwaarde kunnen gebruikers blobs lezen, schrijven of verwijderen in opslagcontainers met de naam blobs-example-container. Deze voorwaarde is handig voor het delen van specifieke opslagcontainers met andere gebruikers in een abonnement.

Er zijn vijf acties voor het lezen, schrijven en verwijderen van bestaande blobs. U moet deze voorwaarde toevoegen aan roltoewijzingen die een van de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens. Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

Suboperations worden niet in deze voorwaarde gebruikt omdat de suboperation alleen nodig is wanneer voorwaarden zijn gemaakt op basis van tags.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob verwijderen Een blob lezen Schrijven naar een blob Een blob of momentopname maken of gegevens toevoegen Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Resource
Kenmerk	Containernaam
Operator	StringEquals
Weergegeven als	{containerName}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Inzender van opslag-blobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Voorbeeld: Blobs lezen in benoemde containers met een pad

Met deze voorwaarde heeft u leestoegang tot opslagcontainers met de naam blobs-example-container met een blobpad van alleen-lezen/*. Deze voorwaarde is handig voor het delen van specifieke onderdelen van opslagcontainers voor leestoegang met andere gebruikers in het abonnement.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens. Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Resource
Kenmerk	Containernaam
Operator	StringEquals
Weergegeven als	{containerName}
Expression 2
Operator	And
Kenmerkbron	Resource
Kenmerk	Blobpad
Operator	StringLike
Weergegeven als	{pathString}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Opslagblobgegevenslezer, Inzender voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een lijst-blobs-bewerking is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie die controleert op de containernaam en het pad.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Voorbeeld: Blobs lezen of vermelden in benoemde containers met een pad

Deze voorwaarde staat leestoegang toe en vermeldt ook toegang tot opslagcontainers met de naam blobs-example-container met een blobpad van alleen-lezen/*. Voorwaarde 1 is van toepassing op leesacties, met uitzondering van lijst-blobs. Voorwaarde 2 is van toepassing op lijst-blobs. Deze voorwaarde is handig voor het delen van specifieke onderdelen van opslagcontainers voor lees- of lijsttoegang met andere gebruikers in het abonnement.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens. Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Notitie

Azure Portal maakt gebruik van voorvoegsel='' om blobs uit de hoofdmap van de container weer te geven. Nadat de voorwaarde is toegevoegd met de bewerking lijst-blobs met het voorvoegsel StringStartsWith 'readonly/', kunnen doelgebruikers geen blobs weergeven uit de hoofdmap van de container in Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Resource
Kenmerk	Containernaam
Operator	StringEquals
Weergegeven als	{containerName}
Expression 2
Operator	And
Kenmerkbron	Resource
Kenmerk	Blobpad
Operator	StringStartsWith
Weergegeven als	{pathString}

Voorwaarde 2	Instelling
Acties	Blobs vermelden Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Resource
Kenmerk	Containernaam
Operator	StringEquals
Weergegeven als	{containerName}
Expression 2
Operator	And
Kenmerkbron	Aanvraag
Kenmerk	Blobvoorvoegsel
Operator	StringStartsWith
Weergegeven als	{pathString}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Opslagblobgegevenslezer, Inzender voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: Blobs schrijven in benoemde containers met een pad

Met deze voorwaarde kan een partner (een Gastgebruiker van Microsoft Entra) bestanden neerzetten in opslagcontainers met de naam Contosocorp met een pad naar uploads/contoso/*. Deze voorwaarde is handig voor het toestaan van andere gebruikers om gegevens in opslagcontainers te plaatsen.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens. Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Schrijven naar een blob Een blob of momentopname maken of gegevens toevoegen Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Resource
Kenmerk	Containernaam
Operator	StringEquals
Weergegeven als	{containerName}
Expression 2
Operator	And
Kenmerkbron	Resource
Kenmerk	Blobpad
Operator	StringLike
Weergegeven als	{pathString}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Inzender van opslag-blobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Voorbeeld: Blobs lezen met een blobindextag en een pad

Met deze voorwaarde kan een gebruiker blobs lezen met een blob-indextagsleutel van Program, een waarde van Alpine en een blobpad van logboeken*. Het blobpad van logboeken* bevat ook de blobnaam.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen
Kenmerkbron	Resource
Kenmerk	Blob-indextags [Waarden in sleutel]
Sleutel	{keyName}
Operator	StringEquals
Weergegeven als	{keyValue}

Voorwaarde 2	Instelling
Acties	Een blob lezen
Kenmerkbron	Resource
Kenmerk	Blobpad
Operator	StringLike
Weergegeven als	{pathString}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een lijst-blobs-bewerking is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie die controleert op de blob-indextag en het pad.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

U kunt deze voorwaarde als volgt testen.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metagegevens van blobcontainer

Voorbeeld: Blobs lezen in container met specifieke metagegevens

Met deze voorwaarde kunnen gebruikers blobs lezen in blobcontainers met een specifieke metagegevenssleutel/waardepaar.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen
Kenmerkbron	Resource
Kenmerk	Containermetagegevens
Operator	StringEquals
Weergegeven als	{containerName}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Lezer voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Voorbeeld: Blobs schrijven of verwijderen in een container met specifieke metagegevens

Met deze voorwaarde kunnen gebruikers blobs schrijven of verwijderen in blobcontainers met een specifieke sleutel/waardepaar met metagegevens.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Schrijven naar een blob Een blob verwijderen
Kenmerkbron	Resource
Kenmerk	Containermetagegevens
Operator	StringEquals
Weergegeven als	{containerName}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Inzender van opslag-blobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen met behulp van Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Blobversies of blobmomentopnamen

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van de blobversie of momentopname.

Voorbeeld: Alleen-lezen huidige blobversies

Met deze voorwaarde kan een gebruiker alleen huidige blobversies lezen. De gebruiker kan geen andere blobversies lezen.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Resource
Kenmerk	Is de huidige versie
Operator	BoolEquals
Weergegeven als	Waar

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Opslagblobgegevenslezer, Inzender voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een lijst-blobs-bewerking is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie die de versie controleert.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: huidige blobversies en een specifieke blobversie lezen

Met deze voorwaarde kan een gebruiker de huidige blobversies lezen en blobs lezen met een versie-id van 2022-06-01T23:38:32.8883645Z. De gebruiker kan geen andere blobversies lezen. Het kenmerk Versie-id is alleen beschikbaar voor opslagaccounts waarvoor hiërarchische naamruimte niet is ingeschakeld.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen
Kenmerkbron	Aanvraag
Kenmerk	Versie-id
Operator	DateTimeEquals
Weergegeven als	<blobVersionId>
Expression 2
Operator	Or
Kenmerkbron	Resource
Kenmerk	Is de huidige versie
Operator	BoolEquals
Weergegeven als	Waar

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een bewerking lijst-blobs is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie die versiegegevens controleert.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: Oude blobversies verwijderen

Met deze voorwaarde kan een gebruiker versies van een blob verwijderen die ouder zijn dan 06/01/2022 om opschoning uit te voeren. Het kenmerk Versie-id is alleen beschikbaar voor opslagaccounts waarvoor hiërarchische naamruimte niet is ingeschakeld.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob verwijderen Een versie van een blob verwijderen
Kenmerkbron	Aanvraag
Kenmerk	Versie-id
Operator	DateTimeLessThan
Weergegeven als	<blobVersionId>

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: huidige blobversies en eventuele blobmomentopnamen lezen

Met deze voorwaarde kan een gebruiker de huidige blobversies en eventuele blobmomentopnamen lezen. Het kenmerk Versie-id is alleen beschikbaar voor opslagaccounts waarvoor hiërarchische naamruimte niet is ingeschakeld. Het kenmerk Momentopname is beschikbaar voor opslagaccounts waarvoor hiërarchische naamruimte niet is ingeschakeld en momenteel in preview is voor opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Aanvraag
Kenmerk	Momentopname
Exists	Gecontroleerd
Expression 2
Operator	Or
Kenmerkbron	Resource
Kenmerk	Is de huidige versie
Operator	BoolEquals
Weergegeven als	Waar

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Opslagblobgegevenslezer, Inzender voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een lijst-blobs-bewerking is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie waarmee versie- en momentopnamegegevens worden gecontroleerd.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: Lijstblobbewerking toestaan om blobmetagegevens, momentopnamen of versies op te nemen

Met deze voorwaarde kan een gebruiker blobs in een container vermelden en metagegevens, momentopnamen en versiegegevens opnemen. Het kenmerk Lijst-blobs bevatten is beschikbaar voor opslagaccounts waarbij hiërarchische naamruimte niet is ingeschakeld.

Notitie

Lijst-blobs bevatten een aanvraagkenmerk en werkt door waarden in de include parameter toe te staan of te beperken bij het aanroepen van de bewerking List Blobs . De waarden in de include parameter worden vergeleken met de waarden die zijn opgegeven in de voorwaarde met behulp van vergelijkingsoperatoren voor meerdere producten. Als de vergelijking waar oplevert, is de List Blobs aanvraag toegestaan. Als de vergelijking resulteert in onwaar, wordt de List Blobs aanvraag geweigerd.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Blobs vermelden
Kenmerkbron	Aanvraag
Kenmerk	Lijst-blobs bevatten
Operator	ForAllOfAnyValues:StringEqualsIgnoreCase
Weergegeven als	{'metadata', 'snapshots', 'versions'}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Lezer voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie wanneer de suboperation is Blob.List. Dit betekent dat een list-blobs-bewerking verder wordt geëvalueerd op basis van de expressie waarmee de include waarden worden gecontroleerd, maar dat alle andere leesacties zijn toegestaan.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: Lijstblobbewerking beperken tot het niet opnemen van blobmetagegevens

Deze voorwaarde beperkt een gebruiker om blobs weer te geven wanneer metagegevens in de aanvraag worden opgenomen. Het kenmerk Lijst-blobs bevatten is beschikbaar voor opslagaccounts waarbij hiërarchische naamruimte niet is ingeschakeld.

Notitie

Lijst-blobs bevatten een aanvraagkenmerk en werkt door waarden in de include parameter toe te staan of te beperken bij het aanroepen van de bewerking List Blobs . De waarden in de include parameter worden vergeleken met de waarden die zijn opgegeven in de voorwaarde met behulp van vergelijkingsoperatoren voor meerdere producten. Als de vergelijking waar oplevert, is de List Blobs aanvraag toegestaan. Als de vergelijking resulteert in onwaar, wordt de List Blobs aanvraag geweigerd.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Blobs vermelden
Kenmerkbron	Aanvraag
Kenmerk	Lijst-blobs bevatten
Operator	ForAllOfAllValues:StringNotEquals
Weergegeven als	{'metadata'}

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Lezer voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie wanneer de suboperation is Blob.List. Dit betekent dat een list-blobs-bewerking verder wordt geëvalueerd op basis van de expressie waarmee de include waarden worden gecontroleerd, maar dat alle andere leesacties zijn toegestaan.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Hiërarchische naamruimte

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van of hiërarchische naamruimte is ingeschakeld voor een opslagaccount.

Voorbeeld: Alleen-lezen opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld

Met deze voorwaarde kan een gebruiker alleen blobs lezen in opslagaccounts waarvoor hiërarchische naamruimte is ingeschakeld. Deze voorwaarde is alleen van toepassing op het bereik van de resourcegroep of hoger.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen Alle gegevensbewerkingen voor accounts waarvoor hiërarchische naamruimte is ingeschakeld (indien van toepassing)
Kenmerkbron	Resource
Kenmerk	Is hiërarchische naamruimte ingeschakeld
Operator	BoolEquals
Weergegeven als	Waar

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Opslagblobgegevenslezer, Inzender voor opslagblobgegevens

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een bewerking lijst-blobs is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie die controleert op hiërarchische naamruimte.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Versleutelingsbereik

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten met een goedgekeurd versleutelingsbereik kunt beperken.

Voorbeeld: Blobs lezen met specifieke versleutelingsbereiken

Met deze voorwaarde kan een gebruiker blobs lezen die zijn versleuteld met versleutelingsbereik validScope1 of validScope2.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen
Kenmerkbron	Resource
Kenmerk	Naam van versleutelingsbereik
Operator	ForAnyOfAnyValues:StringEquals
Weergegeven als	<scopeName>

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een lijst-blobs-bewerking is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie waarmee versleutelingsbereiken worden gecontroleerd.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: Blobs lezen of schrijven in benoemd opslagaccount met een specifiek versleutelingsbereik

Met deze voorwaarde kan een gebruiker blobs lezen of schrijven in een opslagaccount met de naam sampleaccount en versleuteld met versleutelingsbereik ScopeCustomKey1. Als blobs niet zijn versleuteld of ontsleuteld met ScopeCustomKey1, retourneert de aanvraag verboden.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Notitie

Omdat versleutelingsbereiken voor verschillende opslagaccounts kunnen verschillen, is het raadzaam om het storageAccounts:name kenmerk te gebruiken met het encryptionScopes:name kenmerk om het specifieke versleutelingsbereik te beperken dat is toegestaan.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Een blob lezen Schrijven naar een blob Een blob of momentopname maken of gegevens toevoegen
Kenmerkbron	Resource
Kenmerk	Accountnaam
Operator	StringEquals
Weergegeven als	<accountName>
Expression 2
Operator	And
Kenmerkbron	Resource
Kenmerk	Naam van versleutelingsbereik
Operator	ForAnyOfAnyValues:StringEquals
Weergegeven als	<scopeName>

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Principal-kenmerken

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten kunt beperken op basis van aangepaste beveiligingsprinciplen.

Voorbeeld: Blobs lezen of schrijven op basis van blob-indextags en aangepaste beveiligingskenmerken

Met deze voorwaarde is lees- of schrijftoegang tot blobs toegestaan als de gebruiker een aangepast beveiligingskenmerk heeft dat overeenkomt met de blob-indextag.

Als Brenda bijvoorbeeld het kenmerk Project=Bakerheeft, kan ze alleen blobs lezen of schrijven met de Project=Baker blob-indextag. Op dezelfde manier kan Chandra alleen blobs lezen of schrijven met Project=Cascade.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Zie Leestoegang tot blobs toestaan op basis van tags en aangepaste beveiligingskenmerken voor meer informatie.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Blobvoorwaarden lezen
Kenmerkbron	Belangrijkste
Kenmerk	<attributeset>_<key>
Operator	StringEquals
Optie	Kenmerk
Kenmerkbron	Resource
Kenmerk	Blob-indextags [Waarden in sleutel]
Sleutel	<key>

Voorwaarde 2	Instelling
Acties	Schrijven naar een blob met blobindextags Schrijven naar een blob met blobindextags
Kenmerkbron	Belangrijkste
Kenmerk	<attributeset>_<key>
Operator	StringEquals
Optie	Kenmerk
Kenmerkbron	Aanvraag
Kenmerk	Blob-indextags [Waarden in sleutel]
Sleutel	<key>

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Voorbeeld: Blobs lezen op basis van blobindextags en aangepaste beveiligingskenmerken met meerdere waarden

Met deze voorwaarde is leestoegang tot blobs toegestaan als de gebruiker een aangepast beveiligingskenmerk heeft met waarden die overeenkomen met de blobindextag.

Als Chandra bijvoorbeeld het kenmerk Project heeft met de waarden Baker en Cascade, kan ze alleen blobs lezen met de Project=Baker of Project=Cascade blob-indextag.

U moet deze voorwaarde toevoegen aan roltoewijzingen die de volgende actie bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

Zie Leestoegang tot blobs toestaan op basis van tags en aangepaste beveiligingskenmerken voor meer informatie.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van Azure Portal.

Voorwaarde 1	Instelling
Acties	Blobvoorwaarden lezen
Kenmerkbron	Resource
Kenmerk	Blob-indextags [Waarden in sleutel]
Sleutel	<key>
Operator	ForAnyOfAnyValues:StringEquals
Optie	Kenmerk
Kenmerkbron	Belangrijkste
Kenmerk	<attributeset>_<key>

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het codevoorbeeld van de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een lijst-blobs-bewerking is toegestaan, maar alle andere leesacties worden verder geëvalueerd op basis van de expressie waarmee de blobindextags en aangepaste beveiligingskenmerken worden gecontroleerd.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

Momenteel is er geen voorbeeld opgegeven.

Omgevingskenmerken

Deze sectie bevat voorbeelden die laten zien hoe u de toegang tot objecten beperkt op basis van de netwerkomgeving of de huidige datum en tijd.

Voorbeeld: Leestoegang tot blobs toestaan na een specifieke datum en tijd

Met deze voorwaarde is leestoegang tot blobcontainer container1 pas na 1 mei 2023 Universal Coordinated Time (UTC) toegestaan.

Er zijn twee mogelijke acties voor het lezen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de suboperation Een blob lezen , zoals wordt weergegeven in de volgende tabel.

Actie	Suboperation
Alle leesbewerkingen	Een blob lezen

Selecteer niet de actie Alle leesbewerkingen of andere subbewerkingen op het hoogste niveau, zoals wordt weergegeven in de volgende afbeelding:

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Instelling	Weergegeven als
Kenmerkbron	Resource
Kenmerk	Containernaam
Operator	StringEquals
Weergegeven als	container1
Logische operator	'AND'
Kenmerkbron	Omgeving
Kenmerk	UtcNow
Operator	DateTimeGreaterThan
Weergegeven als	2023-05-01T13:00:00.000Z

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het volgende codevoorbeeld voor de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
) 

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen voor de rol Opslagblobgegevenslezer met behulp van Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Voorbeeld: Toegang tot blobs in specifieke containers vanuit een specifiek subnet toestaan

Met deze voorwaarde kunt u alleen lees-, schrijf-, toevoeg- en verwijdertoegang tot blobs in container1 een subnet default in het virtuele netwerk virtualnetwork1toestaan. Als u het subnetkenmerk in dit voorbeeld wilt gebruiken, moet voor het subnet service-eindpunten zijn ingeschakeld voor Azure Storage.

Er zijn vijf mogelijke acties voor lees-, schrijf-, toevoeg- en verwijdertoegang tot bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de acties op het hoogste niveau die worden weergegeven in de volgende tabel.

Actie	Suboperation
Alle leesbewerkingen	N/a
Schrijven naar een blob	N/a
Een blob of momentopname maken of gegevens toevoegen	N/a
Een blob verwijderen	N/a

Selecteer geen afzonderlijke suboperations, zoals wordt weergegeven in de volgende afbeelding:

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Instelling	Weergegeven als
Kenmerkbron	Resource
Kenmerk	Containernaam
Operator	StringEquals
Weergegeven als	container1
Logische operator	'AND'
Kenmerkbron	Omgeving
Kenmerk	Subnet
Operator	StringEqualsIgnoreCase
Weergegeven als	/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het volgende codevoorbeeld voor de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen voor de rol Inzender voor opslagblobgegevens met behulp van Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Voorbeeld: Toegang tot private link vereisen voor lees-blobs met hoge gevoeligheid

Voor deze voorwaarde moeten aanvragen voor het lezen van blobs worden gelezen waarbij de vertrouwelijkheid van de blob-indextag een waarde heeft die high moet worden overschreden via een privékoppeling (elke privékoppeling). Dit betekent dat alle pogingen om zeer gevoelige blobs van het openbare internet te lezen, niet worden toegestaan. Gebruikers kunnen blobs lezen van het openbare internet waarvoor gevoeligheid is ingesteld op een andere waarde dan high.

Een waarheidstabel voor deze ABAC-voorbeeldvoorwaarde volgt:

Actie	Vertrouwelijkheid	Privékoppeling	Toegang
Een blob lezen	Hoge	Ja	Toegestaan
Een blob lezen	Hoge	Nee	Niet toegestaan
Een blob lezen	NIET hoog	Ja	Toegestaan
Een blob lezen	NIET hoog	Nee	Toegestaan

Er zijn twee mogelijke acties voor het lezen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual condition editor in Azure Portal.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de suboperation Een blob lezen , zoals wordt weergegeven in de volgende tabel.

Actie	Suboperation
Alle leesbewerkingen	Een blob lezen

Selecteer niet de actie Alle leesbewerkingen op het hoogste niveau van andere subbewerkingen, zoals wordt weergegeven in de volgende afbeelding:

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Groep	Instelling	Weergegeven als
Groep 1
	Kenmerkbron	Resource
	Kenmerk	Blob-indextags [Waarden in sleutel]
	Sleutel	sensitivity
	Operator	StringEquals
	Weergegeven als	high
	Logische operator	'AND'
	Kenmerkbron	Omgeving
	Kenmerk	Is privékoppeling
	Operator	BoolEquals
	Weergegeven als	True
Einde van groep 1
	Logische operator	'OF'
	Kenmerkbron	Resource
	Kenmerk	Blob-indextags [Waarden in sleutel]
	Sleutel	sensitivity
	Operator	StringNotEquals
	Weergegeven als	high

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het volgende codevoorbeeld voor de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een list-blobs-bewerking is toegestaan, maar dat alle andere leesacties verder worden geëvalueerd op basis van de expressie.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen voor de rol Opslagblobgegevenslezer met behulp van Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Voorbeeld: Alleen toegang tot een container vanaf een specifiek privé-eindpunt toestaan

Deze voorwaarde vereist dat alle lees-, schrijf-, toevoeg- en verwijderbewerkingen voor blobs in een opslagcontainer met de naam container1 worden gemaakt via een privé-eindpunt met de naam privateendpoint1. Voor alle andere containers die geen naam hebben container1, hoeft de toegang niet via het privé-eindpunt te worden uitgevoerd.

Er zijn vijf mogelijke acties voor het lezen, schrijven en verwijderen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens. Voeg toe als de opslagaccounts in deze voorwaarde hiërarchische naamruimte hebben ingeschakeld of in de toekomst mogelijk zijn ingeschakeld.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual condition editor in Azure Portal.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de acties op het hoogste niveau die worden weergegeven in de volgende tabel.

Actie	Suboperation
Alle leesbewerkingen	N/a
Schrijven naar een blob	N/a
Een blob of momentopname maken of gegevens toevoegen	N/a
Een blob verwijderen	N/a

Selecteer geen afzonderlijke suboperations, zoals wordt weergegeven in de volgende afbeelding:

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Groep	Instelling	Weergegeven als
Groep 1
	Kenmerkbron	Resource
	Kenmerk	Containernaam
	Operator	StringEquals
	Weergegeven als	container1
	Logische operator	'AND'
	Kenmerkbron	Omgeving
	Kenmerk	Privé-eindpunt
	Operator	StringEqualsIgnoreCase
	Weergegeven als	/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Einde van groep 1
	Logische operator	'OF'
	Kenmerkbron	Resource
	Kenmerk	Containernaam
	Operator	StringNotEquals
	Weergegeven als	container1

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kiest u een van de volgende codevoorbeelden voor voorwaarden, afhankelijk van de rol die aan de toewijzing is gekoppeld. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

Eigenaar van opslagblobgegevens:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Bijdrager voor opslagblobgegevens:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen voor de rol Inzender voor opslagblobgegevens met behulp van Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Voorbeeld: Leestoegang tot zeer gevoelige blobgegevens alleen toestaan vanuit een specifiek privé-eindpunt en door gebruikers die zijn getagd voor toegang

Deze voorwaarde vereist dat blobs met gevoeligheid voor indextags zijn ingesteld op high alleen-lezen door gebruikers met een overeenkomende waarde voor hun gevoeligheidsbeveiligingskenmerk. Daarnaast moeten ze worden geopend via een privé-eindpunt met de naam privateendpoint1. Blobs met een andere waarde voor de vertrouwelijkheidstag kunnen worden geopend via andere eindpunten of internet.

Er zijn twee mogelijke acties voor het lezen van bestaande blobs. Als u deze voorwaarde effectief wilt maken voor principals met meerdere roltoewijzingen, moet u deze voorwaarde toevoegen aan alle roltoewijzingen die een van de volgende acties bevatten.

Actie	Opmerkingen
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	Voeg toe als de roldefinitie deze actie bevat, zoals eigenaar van opslagblobgegevens.

De voorwaarde kan worden toegevoegd aan een roltoewijzing met behulp van Azure Portal of Azure PowerShell. De portal heeft twee hulpprogramma's voor het bouwen van ABAC-voorwaarden: de visuele editor en de code-editor. U kunt schakelen tussen de twee editors in Azure Portal om uw voorwaarden in verschillende weergaven te bekijken. Schakel tussen het tabblad Visual Editor en de tabbladen Code-editor om de voorbeelden voor de portaleditor van uw voorkeur weer te geven.

Portal: Visual Editor

Hier volgen de instellingen voor het toevoegen van deze voorwaarde met behulp van de visual condition editor in Azure Portal.

Actie toevoegen

Selecteer Actie Toevoegen en selecteer vervolgens alleen de suboperation Een blob lezen , zoals wordt weergegeven in de volgende tabel.

Actie	Suboperation
Alle leesbewerkingen	Een blob lezen

Selecteer de actie op het hoogste niveau niet, zoals wordt weergegeven in de volgende afbeelding:

Expressie opbouwen

Gebruik de waarden in de volgende tabel om het expressiegedeelte van de voorwaarde te maken:

Groep	Instelling	Weergegeven als
Groep 1
	Kenmerkbron	Belangrijkste
	Kenmerk	<attributeset>_<key>
	Operator	StringEquals
	Optie	Kenmerk
	Logische operator	'AND'
	Kenmerkbron	Resource
	Kenmerk	Blob-indextags [Waarden in sleutel]
	Sleutel	<key>
	Logische operator	'AND'
	Kenmerkbron	Omgeving
	Kenmerk	Privé-eindpunt
	Operator	StringEqualsIgnoreCase
	Weergegeven als	/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1
Einde van groep 1
	Logische operator	'OF'
	Kenmerkbron	Resource
	Kenmerk	Blob-indextags [Waarden in sleutel]
	Sleutel	sensitivity
	Operator	StringNotEquals
	Weergegeven als	high

In de volgende afbeelding ziet u de voorwaarde nadat de instellingen zijn ingevoerd in Azure Portal. U moet expressies groeperen om de juiste evaluatie te garanderen.

Portal: Code-editor

Als u de voorwaarde wilt toevoegen met behulp van de code-editor, kopieert u het volgende codevoorbeeld voor de voorwaarde en plakt u deze in de code-editor. Nadat u de code hebt ingevoerd, gaat u terug naar de visual-editor om deze te valideren.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

In dit voorbeeld beperkt de voorwaarde de leesactie, behalve wanneer de suboperation is Blob.List. Dit betekent dat een list-blobs-bewerking is toegestaan, maar dat alle andere leesacties verder worden geëvalueerd op basis van de expressie.

Als een gebruiker probeert een actie uit te voeren in de toegewezen rol die geen actie is die wordt beperkt door de voorwaarde, !(ActionMatches) resulteert dit in waar en resulteert de algehele voorwaarde in waar. Met dit resultaat kan de actie worden uitgevoerd.

Zie Voorwaarden-indeling voor meer informatie over hoe voorwaarden worden opgemaakt en geëvalueerd.

Powershell

U kunt deze voorwaarde als volgt toevoegen voor de rol Opslagblobgegevenslezer met behulp van Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Volgende stappen

• Zelfstudie: Een voorwaarde voor roltoewijzing toevoegen om de toegang tot blobs te beperken met behulp van Azure Portal
• Acties en kenmerken voor voorwaarden voor Azure-roltoewijzing voor Azure Blob Storage
• Indeling en syntaxis van voorwaarden voor Azure-roltoewijzing
• Problemen met Azure-roltoewijzingsvoorwaarden oplossen