Exempel på villkor för Azure-rolltilldelning för Blob Storage

2025-04-03

Den här artikeln innehåller några exempel på rolltilldelningsvillkor för att styra åtkomsten till Azure Blob Storage.

Viktigt!

Azure-attributbaserad åtkomstkontroll (Azure ABAC) är allmänt tillgänglig (GA) för att styra åtkomsten till Azure Blob Storage, Azure Data Lake Storage Gen2 och Azure Queues med hjälp av request, resourceoch environmentprincipal attribut på prestandanivåerna för både standard- och Premium Storage-konton. Listbloben innehåller för närvarande begärandeattributet och attributet för ögonblicksbildsbegäran för hierarkiskt namnområde i FÖRHANDSVERSION. Fullständig information om funktionsstatus för ABAC för Azure Storage finns i Status för villkorsfunktioner i Azure Storage.

Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Förutsättningar

Information om kraven för att lägga till eller redigera rolltilldelningsvillkor finns i Villkorskrav.

Sammanfattning av exempel i den här artikeln

Använd följande tabell för att snabbt hitta ett exempel som passar ditt ABAC-scenario. Tabellen innehåller en kort beskrivning av scenariot, plus en lista över attribut som används i exemplet efter källa (miljö, huvudnamn, begäran och resurs).

Exempel	Miljö	Rektor	Begäran	Resurs
Läs blobar med en blobindextagg				Taggar
Nya blobar måste innehålla en blobindextagg			Taggar
Befintliga blobar måste ha taggnycklar för blobindex			Taggar
Befintliga blobar måste ha en blobindextaggnyckel och värden			Taggar
Läsa, skriva eller ta bort blobar i namngivna containrar				containernamn
Läsa blobbar i namngivna containrar med en angiven sökväg				containernamn blobsökväg
Läsa eller lista blobar i namngivna containrar med en sökväg			blobprefix	containernamn blobsökväg
Lagra blobar i namngivna containrar med en filväg				containernamn blobsökväg
Läs blobar med en blobindextagg och en sökväg				taggar blobsökväg
Läsa blobar i containern med specifik metadata				containermetadata
Skriva eller ta bort blobar i containern med specifika metadata				containermetadata
Läs endast aktuella blobversioner				ärNuvarandeVersion
Läsa aktuella blobversioner och en specifik blobversion			versionId	ärNuvarandeVersion
Ta bort gamla blobversioner			versionId
Läsa aktuella blobversioner och eventuella snapshotar			ögonblicksbild	ärNuvarandeVersion
Tillåt listblobåtgärd för att inkludera blobmetadata, ögonblicksbilder eller versioner			inkludera listblob
Begränsa listblobåtgärden till att inte inkludera blobmetadata			inkludera listblob
Endast läsbara lagringskonton med hierarkiskt namnområde aktiverat				isHnsEnabled
Läsa blobbar med specifika krypteringsomfång				Namn på krypteringsomfång
Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång				Namn på krypteringsomfång för lagringskonto
Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut		ID-nummer	Taggar	Taggar
Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden		ID-nummer		Taggar
Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid	UtcNow			containernamn
Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät	Undernät			containernamn
Kräv åtkomst till privat länk för att läsa blobar med hög känslighet	ärPrivatLänk			Taggar
Tillåt endast åtkomst till en container från en specifik privat slutpunkt	Privat slutpunkt			containernamn
Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst	Privat slutpunkt	ID-nummer		Taggar

Blob-indextaggar

Det här avsnittet innehåller exempel på blobindextaggar.

Viktigt!

Även om underåtgärden Read content from a blob with tag conditions för närvarande stöds för kompatibilitet med villkor som implementerades under förhandsversionen av ABAC-funktionen har den blivit inaktuell och Microsoft rekommenderar att du använder åtgärden Read a blob i stället.

När du konfigurerar ABAC-villkor i Azure Portal kan du se INAKTUELL: Läsa innehåll från en blob med taggvillkor. Microsoft rekommenderar att du tar bort åtgärden och ersätter den med åtgärden Read a blob .

Om du skapar ett eget villkor där du vill begränsa läsåtkomsten efter taggvillkor kan du läsa exempel: Läsa blobar med en blobindextagg.

Exempel: Läsa blobar med en blobindextagg

Det här villkoret gör det möjligt för användare att läsa blobar med en blobindextaggnyckel för Project och värdet Cascade. Försök att komma åt blobar utan den här nyckel/värde-taggen tillåts inte.

För att det här villkoret ska gälla för en säkerhetsprincip måste du lägga till det i alla rolltilldelningar för detta som innehåller följande åtgärder:

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med en blobindextagg.

Villkoret kan läggas till i en rolltilldelning med hjälp av antingen Azure Portal eller Azure PowerShell. Portalen har två verktyg för att skapa ABAC-villkor – den visuella redigeraren och kodredigeraren. Du kan växla mellan de två redigerarna i Azure Portal för att se dina villkor i olika vyer. Växla mellan fliken Visuell redigerare och kodredigerarens flikar för att visa exemplen för den önskade portalredigeraren.

Här är inställningarna för att lägga till det här villkoret med hjälp av det visuella Redigeringsprogrammet för Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operatör	StringEquals
Värde	{keyValue}

Om du vill lägga till villkoret med kodredigeraren kopierar du villkorskodexemplet och klistrar in det i kodredigeraren. När du har angett koden växlar du tillbaka till den visuella redigeraren för att verifiera den.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

I det här exemplet begränsar villkoret läsåtgärden förutom när underoperationen är Blob.List. Det innebär att en listblobåtgärd tillåts, men alla andra läsåtgärder utvärderas ytterligare mot uttrycket som söker efter blobindextaggen.

Om en användare försöker utföra en åtgärd i den tilldelade rollen som inte är en åtgärd som begränsas av villkoret utvärderas !(ActionMatches) till true och det övergripande villkoret utvärderas till sant. Det här resultatet gör att åtgärden kan utföras.

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Exempel: Nya blobar måste innehålla en blobindex-tagg

Det här villkoret kräver att alla nya blobar måste innehålla en blobindextaggnyckel för Project och värdet Kaskad.

Det finns två åtgärder som gör att du kan skapa nya blobar, så du måste rikta in dig på båda. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder:

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Villkorsdiagram som visar nya blobar måste innehålla en blobindextagg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva till en blob med blobindextaggar
Attributkälla	Begäran
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operatör	StringEquals
Värde	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Exempel: Befintliga blobar måste ha blobindex-taggnycklar

Det här villkoret kräver att alla befintliga blobar taggas med minst en av de tillåtna blobindextaggnycklarna : Project eller Program. Det här villkoret är användbart för att lägga till styrning i befintliga blobar.

Det finns två åtgärder som gör att du kan uppdatera taggar på befintliga blobar, så du måste rikta in dig på båda. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder:

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över det befintliga villkoret som visar att blobbar måste ha blobindextaggnycklar.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva blobindextaggar
Attributkälla	Begäran
Attribut	Blobindextaggar [Nycklar]
Operatör	ForAllOfAnyValues:StringEquals
Värde	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Exempel: Befintliga blobar måste ha en blobindextaggnyckel och värden

Det här villkoret kräver att alla befintliga blobar har en blobindextagg med nyckeln Project och värdena Cascade, Baker eller Skagit. Det här villkoret är användbart för att lägga till styrning i befintliga blobar.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över tillstånd som visar att befintliga blobar måste ha en blobindextaggnyckel och -värden.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva blobindextaggar
Attributkälla	Begäran
Attribut	Blobindextaggar [Nycklar]
Operatör	FörNågonAvNågraVärden:StringEquals
Värde	{keyName}
Operatör	och
Uttryck 2
Attributkälla	Begäran
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operatör	ForAllOfAnyValues:StringEquals
Värde	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Namn eller sökvägar för blobcontainer

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på containernamn eller blobsökväg.

Exempel: Läsa, skriva eller ta bort blobar i namngivna containrar

Med det här villkoret kan användare läsa, skriva eller ta bort blobar i lagringscontainrar med namnet blobs-example-container. Det här villkoret är användbart för att dela specifika lagringscontainrar med andra användare i en prenumeration.

Det finns fem åtgärder för att läsa, skriva och ta bort befintliga blobar. Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Underåtgärder används inte i det här villkoret eftersom underåtgärden endast behövs när villkor skapas baserat på taggar.

Diagram över villkor som visar läsning, skrivning eller borttagning av blobar i namngivna containrar.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Ta bort en blob Läsa en blob Skriva till en blob Skapa en blob eller ögonblicksbild eller lägga till data Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operatör	StringEquals
Värde	{containerName}

Lagringsblobbägarens data

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Storage Blob Data-bidragsgivare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Exempel: Läs blobar i namngivna containrar med en sökväg

Det här villkoret tillåter läsåtkomst till lagringscontainrar med namnet blobs-example-container med en blobsökväg med readonly/*. Det här villkoret är användbart för att dela specifika delar av lagringscontainrar för läsåtkomst med andra användare i prenumerationen.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar läsåtkomst till blobar i namngivna containrar med en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operatör	StringEquals
Värde	{containerName}
Uttryck 2
Operatör	och
Attributkälla	Resurs
Attribut	Blobbväg
Operatör	StringLike
Värde	{pathString}

Lagringsblobbägarens data

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Exempel: Läsa eller lista blobar i namngivna containrar med en sökväg

Det här villkoret tillåter läsåtkomst och liståtkomst till lagringscontainrar med namnet blobs-example-container med en blobsökväg med readonly/*. Villkor nr 1 gäller för läsåtgärder exklusive listblobar. Villkor nr 2 gäller för listblobar. Det här villkoret är användbart för att dela specifika delar av lagringscontainrar för läs- eller liståtkomst med andra användare i prenumerationen.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar läs- och liståtkomst till blobar i namngivna containrar med en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Anmärkning

Azure-portalen använder prefix='' för att lista blobar från containerns rotkatalog. När villkoret har lagts till med listblobbåtgärden med prefixet StringStartsWith "readonly/" kommer målanvändare inte att kunna lista blobar från containerns rotkatalog i Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operatör	StringEquals
Värde	{containerName}
Uttryck 2
Operatör	och
Attributkälla	Resurs
Attribut	Blobbväg
Operatör	StringStartsWith
Värde	{pathString}

Villkor nr 2	Inställning
Åtgärder	Lista blobs Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operatör	StringEquals
Värde	{containerName}
Uttryck 2
Operatör	och
Attributkälla	Begäran
Attribut	Blobprefix
Operatör	StringStartsWith
Värde	{pathString}

Lagringsblobbägarens data

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Lagra blobar i namngivna containrar med en sökväg

Med det här villkoret kan en partner (en Microsoft Entra-gästanvändare) släppa filer i lagringscontainrar med namnet Contosocorp med en sökväg för uppladdningar/contoso/*. Det här villkoret är användbart för att tillåta andra användare att placera data i lagringscontainrar.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Diagram över villkor som visar skrivåtkomst till blobar i namngivna containrar med en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob Skapa en blob eller ögonblicksbild eller lägga till data Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Containernamn
Operatör	StringEquals
Värde	{containerName}
Uttryck 2
Operatör	och
Attributkälla	Resurs
Attribut	Blobbväg
Operatör	StringLike
Värde	{pathString}

Lagringsblobbägarens data

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Storage Blob Data-bidragsgivare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Exempel: Läsa blobar med en blobindextagg och en sökväg

Med det här villkoret kan en användare läsa blobar med en blobindextaggnyckel för Program, värdet Alpine och en blobsökväg med loggar*. Blobsökvägen för loggar* innehåller även blobnamnet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med en blobindextagg och en sökväg.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	{keyName}
Operatör	StringEquals
Värde	{keyValue}

Villkor nr 2	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Blobbväg
Operatör	StringLike
Värde	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Så här testar du detta villkor.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadata för blobcontainer

Exempel: Läsa blobar i container med specifika metadata

Med det här villkoret kan användare läsa blobar i blobcontainrar med ett specifikt nyckel-/värdepar för metadata.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Containermetadata
Operatör	StringEquals
Värde	{containerName}

Storage Blob Data Reader

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Skriva eller ta bort blobar i container med specifika metadata

Med det här villkoret kan användare skriva eller ta bort blobar i blobcontainrar med ett specifikt nyckel-/värdepar för metadata.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Skriva till en blob Ta bort en blob
Attributkälla	Resurs
Attribut	Containermetadata
Operatör	StringEquals
Värde	{containerName}

Storage Blob Data-bidragsgivare

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret med Hjälp av Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Blobversioner eller blobsnapshottar

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på blobversionen eller ögonblicksbilden.

Exempel: Läs bara aktuella blobversioner

Med det här villkoret kan en användare bara läsa aktuella blobversioner. Användaren kan inte läsa andra blobversioner.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst endast till den aktuella blobversionen.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Nuvarande version
Operatör	BoolEquals
Värde	Sann

Lagringsblobbägarens data

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läs aktuella blobversioner och en specifik blobversion

Med det här villkoret kan en användare läsa aktuella blobversioner och läsa blobar med versions-ID:t 2022-06-01T23:38:32.8883645Z. Användaren kan inte läsa andra blobversioner. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagram över villkor som visar läsåtkomst till en specifik blobversion.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Begäran
Attribut	Version-ID
Operatör	DateTimeEquals
Värde	<blobVersionId>
Uttryck 2
Operatör	Eller
Attributkälla	Resurs
Attribut	Nuvarande version
Operatör	BoolEquals
Värde	Sann

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Ta bort gamla blobversioner

Med det här villkoret kan en användare ta bort versioner av en blob som är äldre än 2022-06-01 för att utföra rensning. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagram över villkor som visar borttagning av åtkomst till gamla blobversioner.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Ta bort en blob Ta bort en version av en blob
Attributkälla	Begäran
Attribut	Version-ID
Operatör	DateTimeLessThan
Värde	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läs aktuella blobversioner och alla blob-snapshots

Med det här villkoret kan en användare läsa aktuella blobversioner och eventuella ögonblicksbilder av blobar. Attributet Versions-ID är endast tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat. Attributet Ögonblicksbild är tillgängligt för lagringskonton där hierarkiskt namnområde inte är aktiverat och för närvarande är i förhandsversion för lagringskonton där hierarkiskt namnområde är aktiverat.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till aktuella blobversioner och eventuella ögonblicksbilder av blobar.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Begäran
Attribut	Ögonblicksbild
Existerar	Kontrollerad
Uttryck 2
Operatör	Eller
Attributkälla	Resurs
Attribut	Nuvarande version
Operatör	BoolEquals
Värde	Sann

Lagringsblobbägarens data

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

I det här exemplet begränsar villkoret läsåtgärden förutom när underoperationen är Blob.List. Det innebär att operationen List Blobs tillåts, men alla andra läsåtgärder utvärderas vidare utifrån det uttryck som kontrollerar information om version och ögonblicksbild.

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Tillåt att listblobåtgärden inkluderar blobmetadata, ögonblicksbilder eller versioner

Med det här villkoret kan en användare lista blobar i en container och inkludera metadata, ögonblicksbilder och versionsinformation. Attributet "Lista blobbar" är tillgängligt för lagringskonton där det hierarkiska namnområdet inte är aktiverat.

Anmärkning

List Blobs är en attribut för begäran och fungerar genom att tillåta eller begränsa värden i parametern include när List Blobs-operationen anropas. Värdena i parametern include jämförs med de värden som anges i villkoret med hjälp av jämförelseoperatorer mellan produkter. Om jämförelsen utvärderas till sant, tillåts List Blobs-begäran. Om jämförelsen resulterar i falskt, nekas List Blobs-begäran.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Lista blobs
Attributkälla	Begäran
Attribut	Lista över blobbar inkluderar
Operatör	FörAllaAvNågraVärden:StringEqualsIgnoreCase
Värde	{'metadata', 'ögonblicksbilder', 'versioner'}

Storage Blob Data Reader

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

I det här exemplet begränsar villkoret läsåtgärden när underoperationen är Blob.List. Det innebär att en listblobåtgärd utvärderas ytterligare mot uttrycket som kontrollerar include värdena, men alla andra läsåtgärder tillåts.

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Begränsa listblobåtgärden till att inte inkludera blobmetadata

Det här villkoret hindrar en användare från att lista blobar när metadata ingår i begäran. Attributet "Lista blobbar" är tillgängligt för lagringskonton där det hierarkiska namnområdet inte är aktiverat.

Anmärkning

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Lista blobs
Attributkälla	Begäran
Attribut	Lista över blobbar inkluderar
Operatör	ForAllOfAllValues:StringNotEquals
Värde	{'metadata'}

Storage Blob Data Reader

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Hierarkisk namnrymd

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på om hierarkiskt namnområde är aktiverat för ett lagringskonto.

Exempel: Skrivskyddade lagringskonton med hierarkiskt namnområde aktiverat

Med det här villkoret kan en användare endast läsa blobar i lagringskonton med hierarkiskt namnområde aktiverat. Det här villkoret gäller endast i resursgruppsomfång eller högre.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till lagringskonton med hierarkiskt namnområde aktiverat.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Alla dataåtgärder för konton med hierarkiskt namnområde aktiverat (om tillämpligt)
Attributkälla	Resurs
Attribut	Är hierarkiskt namnområde aktiverat
Operatör	BoolEquals
Värde	Sann

Lagringsblobbägarens data

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Storage Blob Data Reader, Storage Blob Data Contributor

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Krypteringsomfång

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt med ett godkänt krypteringsomfång.

Exempel: Läsa blobar med specifika krypteringsomfång

Med det här villkoret kan en användare läsa blobar som krypterats med krypteringsomfång validScope1 eller validScope2.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Diagram över villkor som visar läsåtkomst till blobar med krypteringsomfånget validScope1 eller validScope2.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob
Attributkälla	Resurs
Attribut	Namn på krypteringsomfång
Operatör	FörNågonAvNågraVärden:StringEquals
Värde	<ämnesnamn>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång

Med det här villkoret kan en användare läsa eller skriva blobar i ett lagringskonto med namnet sampleaccount och krypterat med krypteringsomfånget ScopeCustomKey1. Om blobar inte krypteras eller dekrypteras med ScopeCustomKey1, returnerar begäran förbjudet.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Anmärkning

Eftersom krypteringsomfången för olika lagringskonton kan vara olika rekommenderar vi att du använder storageAccounts:name attributet med encryptionScopes:name attributet för att begränsa det specifika krypteringsomfång som ska tillåtas.

Diagram över villkor som visar läs- eller skrivåtkomst till blobar i sampleaccount-lagringskontot med krypteringsomfånget ScopeCustomKey1.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa en blob Skriva till en blob Skapa en blob eller ögonblicksbild eller lägga till data
Attributkälla	Resurs
Attribut	Kontonamn
Operatör	StringEquals
Värde	<kontonamn>
Uttryck 2
Operatör	och
Attributkälla	Resurs
Attribut	Namn på krypteringsomfång
Operatör	FörNågonAvNågraVärden:StringEquals
Värde	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Huvudattribut

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på anpassade säkerhetsprinciper.

Exempel: Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut

Det här villkoret tillåter läs- eller skrivåtkomst till blobar om användaren har ett anpassat säkerhetsattribut som matchar blobindextaggen.

Om till exempel Brenda har attributet Project=Baker, kan hon bara läsa eller skriva blobbar med Project=Baker blobindextagg. På samma sätt kan Chandra bara läsa eller skriva datakluster med Project=Cascade.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Mer information finns i Tillåt läsåtkomst till blobar baserat på taggar och anpassade säkerhetsattribut.

Diagram över villkor som visar läs- eller skrivåtkomst till blobar baserat på blobindextaggar och anpassade säkerhetsattribut.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa blobvillkor
Attributkälla	Rektor
Attribut	<attributeset>_<nyckel>
Operatör	StringEquals
Alternativ	Attribut
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	<nyckel>

Villkor nr 2	Inställning
Åtgärder	Skriva till en blob med blobindextaggar Skriva till en blob med blobindextaggar
Attributkälla	Rektor
Attribut	<attributeset>_<nyckel>
Operatör	StringEquals
Alternativ	Attribut
Attributkälla	Begäran
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	<nyckel>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Exempel: Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden

Det här villkoret tillåter läsåtkomst till blobar om användaren har ett anpassat säkerhetsattribut med värden som matchar blobindextaggen.

Om Chandra till exempel har Projekt-attributet med värdena Baker och Cascade kan hon bara läsa blobar med Project=Baker eller Project=Cascade blobindextagg.

Du måste lägga till det här villkoret i alla rolltilldelningar som innehåller följande åtgärd.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Mer information finns i Tillåt läsåtkomst till blobar baserat på taggar och anpassade säkerhetsattribut.

Diagram över villkor som visar läsåtkomst till blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden.

Här är inställningarna för att lägga till det här villkoret med hjälp av Azure-portalen.

Villkor nr 1	Inställning
Åtgärder	Läsa blobvillkor
Attributkälla	Resurs
Attribut	Blobindextaggar [Värden i nyckel]
Nyckel	<nyckel>
Operatör	FörNågonAvNågraVärden:StringEquals
Alternativ	Attribut
Attributkälla	Rektor
Attribut	<attributeset>_<nyckel>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Miljöattribut

Det här avsnittet innehåller exempel som visar hur du begränsar åtkomsten till objekt baserat på nätverksmiljön eller aktuellt datum och tid.

Exempel: Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid

Det här villkoret tillåter läsåtkomst till blobcontainer container1 först efter 13.00 den 1 maj 2023 Universal Coordinated Time (UTC).

Det finns två möjliga åtgärder för att läsa befintliga blobar. Om du vill göra det här villkoret effektivt för huvudanvändare som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd	Deloperation
Alla läsåtgärder	Läsa en blob

Välj inte åtgärden Alla läsåtgärder på den översta nivån eller andra underåtgärder enligt följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Inställning Värde

Attributkälla Resurs

Attribut Containernamn

Operatör StringEquals

Värde container1

Logisk operator "OCH"

Attributkälla Miljö

Attribut UtcNow

Operatör DateTimeGreaterThan

Värde 2023-05-01T13:00:00.000Z

Följande bild visar villkoret när inställningarna har angetts i Azure Portal. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Om du vill lägga till villkoret med kodredigeraren kopierar du följande villkorskodexempel och klistrar in det i kodredigeraren. När du har angett koden växlar du tillbaka till den visuella redigeraren för att verifiera den.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data Reader med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät

Det här villkoret tillåter läs-, skriv-, tilläggs- och borttagningsåtkomst till blobbar i endast från undernät container1 i default det virtuella nätverket virtualnetwork1. Om du vill använda undernätsattributet i det här exemplet måste undernätet ha tjänstslutpunkter aktiverade för Azure Storage.

Det finns fem potentiella åtgärder för att läsa, skriva, lägga till och ta bort åtkomst till befintliga blobar. Om du vill göra det här villkoret effektivt för huvudanvändare som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast de åtgärder på den översta nivån som visas i följande tabell.

Åtgärd	Deloperation
Alla läsåtgärder	n/a
Skriva till en blob	n/a
Skapa en blob eller ögonblicksbild eller lägga till data	n/a
Ta bort en blob	n/a

Välj inte några enskilda underåtgärder som visas i följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Inställning Värde

Attributkälla Resurs

Attribut Containernamn

Operatör StringEquals

Värde container1

Logisk operator "OCH"

Attributkälla Miljö

Attribut undernät

Operatör StringEqualsIgnoreCase

Värde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

Följande bild visar villkoret när inställningarna har angetts i Azure Portal. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till detta villkor för rollen Storage Blob Data-deltagare genom att använda Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Kräv åtkomst till privat länk för att läsa blobar med hög känslighet

Det här villkoret kräver begäranden om att läsa blobar där blobindextaggens känslighet har värdet high att vara via en privat länk (alla privata länkar). Det innebär att alla försök att läsa mycket känsliga blobar från det offentliga Internet inte tillåts. Användare kan läsa blobar från det offentliga Internet som har känslighet inställt på något annat värde än high.

En sanningstabell för det här ABAC-exempelvillkoret följer:

Åtgärd	Känslighet	Privat länk	Tillträde
Läsa en blob	hög	Ja	Tillåtet
Läsa en blob	hög	Nej	Tillåts inte
Läsa en blob	INTE högt	Ja	Tillåtet
Läsa en blob	INTE högt	Nej	Tillåtet

Åtgärd Noteringar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd	Deloperation
Alla läsåtgärder	Läsa en blob

Välj inte åtgärden Alla läsåtgärder på den översta nivån för andra underåtgärder enligt följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp Inställning Värde

Grupp nr 1

Attributkälla Resurs

Attribut Blobindextaggar [Värden i nyckel]

Nyckel sensitivity

Operatör StringEquals

Värde high

Logisk operator "OCH"

Attributkälla Miljö

Attribut Är privat länk

Operatör BoolEquals

Värde True

Slut på grupp nr 1

Logisk operator "OR"

Attributkälla Resurs

Attribut Blobindextaggar [Värden i nyckel]

Nyckel sensitivity

Operatör StringNotEquals

Värde high

Följande bild visar villkoret när inställningarna har angetts i Azure Portal. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data Reader med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Tillåt endast åtkomst till en container från en specifik privat slutpunkt

Det här villkoret kräver att alla läs-, skriv-, tilläggs- och borttagningsåtgärder för blobar i en lagringscontainer med namnet container1 görs via en privat slutpunkt med namnet privateendpoint1. För alla andra containrar som inte heter container1behöver åtkomsten inte vara via den privata slutpunkten.

Det finns fem möjliga åtgärder för att läsa, skriva och ta bort befintliga blobar. Om du vill göra det här villkoret effektivt för huvudanvändare som har flera rolltilldelningar måste du lägga till det här villkoret i alla rolltilldelningar som innehåller någon av följande åtgärder.

Åtgärd	Noteringar
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare. Lägg till om lagringskontona som ingår i det här villkoret har hierarkiskt namnområde aktiverat eller kan aktiveras i framtiden.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast de åtgärder på den översta nivån som visas i följande tabell.

Åtgärd	Deloperation
Alla läsåtgärder	n/a
Skriva till en blob	n/a
Skapa en blob eller ögonblicksbild eller lägga till data	n/a
Ta bort en blob	n/a

Välj inte några enskilda underåtgärder som visas i följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp Inställning Värde

Grupp nr 1

Attributkälla Resurs

Attribut Containernamn

Operatör StringEquals

Värde container1

Logisk operator "OCH"

Attributkälla Miljö

Attribut Privat slutpunkt

Operatör StringEqualsIgnoreCase

Värde /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Slut på grupp nr 1

Logisk operator "OR"

Attributkälla Resurs

Attribut Containernamn

Operatör StringNotEquals

Värde container1

Följande bild visar villkoret när inställningarna har angetts i Azure Portal. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

Om du vill lägga till villkoret med hjälp av kodredigeraren väljer du något av följande villkorskodexempel, beroende på vilken roll som är associerad med tilldelningen. När du har angett koden växlar du tillbaka till den visuella redigeraren för att verifiera den.

Ägare av lagringsblobdata:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Storage Blob Data-deltagare:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till detta villkor för rollen Storage Blob Data-deltagare genom att använda Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst

Det här villkoret kräver att blobar med indextaggens känslighet inställd high på kan läsas endast av användare som har ett matchande värde för sitt känslighetssäkerhetsattribut. Dessutom måste de nås via en privat slutpunkt med namnet privateendpoint1. Blobar som har ett annat värde för känslighetstaggen kan nås via andra slutpunkter eller Internet.

Åtgärd Noteringar

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Lägg till om rolldefinitionen innehåller den här åtgärden, till exempel Lagringsblobdataägare.

Här är inställningarna för att lägga till det här villkoret med hjälp av redigeraren för visuella villkor i Azure-portalen.

Lägg till åtgärd

Välj Lägg till åtgärd och välj sedan endast underåtgärden Läs en blob enligt följande tabell.

Åtgärd	Deloperation
Alla läsåtgärder	Läsa en blob

Välj inte åtgärden på den översta nivån enligt följande bild:

Skapa uttryck

Använd värdena i följande tabell för att skapa uttrycksdelen av villkoret:

Grupp	Inställning	Värde
Grupp nr 1
	Attributkälla	Rektor
	Attribut	<attributeset>_<nyckel>
	Operatör	StringEquals
	Alternativ	Attribut
	Logisk operator	"OCH"
	Attributkälla	Resurs
	Attribut	Blobindextaggar [Värden i nyckel]
	Nyckel	<nyckel>
	Logisk operator	"OCH"
	Attributkälla	Miljö
	Attribut	Privat slutpunkt
	Operatör	StringEqualsIgnoreCase
	Värde	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Slut på grupp nr 1
	Logisk operator	"OR"
	Attributkälla	Resurs
	Attribut	Blobindextaggar [Värden i nyckel]
	Nyckel	`sensitivity`
	Operatör	StringNotEquals
	Värde	`high`

Följande bild visar villkoret när inställningarna har angetts i Azure Portal. Du måste gruppera uttryck för att säkerställa korrekt utvärdering.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Mer information om hur villkor formateras och utvärderas finns i Villkorsformat.

Så här lägger du till det här villkoret för rollen Storage Blob Data Reader med hjälp av Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Nästa steg

Feedback

Var den här sidan till hjälp?

Dela via

Exempel på villkor för Azure-rolltilldelning för Blob Storage

Förutsättningar

Sammanfattning av exempel i den här artikeln

Blob-indextaggar

Exempel: Läsa blobar med en blobindextagg

Exempel: Nya blobar måste innehålla en blobindex-tagg

Exempel: Befintliga blobar måste ha blobindex-taggnycklar

Exempel: Befintliga blobar måste ha en blobindextaggnyckel och värden

Namn eller sökvägar för blobcontainer

Exempel: Läsa, skriva eller ta bort blobar i namngivna containrar

Exempel: Läs blobar i namngivna containrar med en sökväg

Exempel: Läsa eller lista blobar i namngivna containrar med en sökväg

Exempel: Lagra blobar i namngivna containrar med en sökväg

Exempel: Läsa blobar med en blobindextagg och en sökväg

Metadata för blobcontainer

Exempel: Läsa blobar i container med specifika metadata

Exempel: Skriva eller ta bort blobar i container med specifika metadata

Blobversioner eller blobsnapshottar

Exempel: Läs bara aktuella blobversioner

Exempel: Läs aktuella blobversioner och en specifik blobversion

Exempel: Ta bort gamla blobversioner

Exempel: Läs aktuella blobversioner och alla blob-snapshots

Exempel: Tillåt att listblobåtgärden inkluderar blobmetadata, ögonblicksbilder eller versioner

Exempel: Begränsa listblobåtgärden till att inte inkludera blobmetadata

Hierarkisk namnrymd

Exempel: Skrivskyddade lagringskonton med hierarkiskt namnområde aktiverat

Krypteringsomfång

Exempel: Läsa blobar med specifika krypteringsomfång

Exempel: Läsa eller skriva blobar i ett namngivet lagringskonto med specifikt krypteringsomfång

Huvudattribut

Exempel: Läsa eller skriva blobar baserat på blobindextaggar och anpassade säkerhetsattribut

Exempel: Läsa blobar baserat på blobindextaggar och anpassade säkerhetsattribut med flera värden

Miljöattribut

Exempel: Tillåt läsåtkomst till blobar efter ett visst datum och en viss tid

Lägg till åtgärd

Skapa uttryck

Exempel: Tillåt åtkomst till blobar i specifika containrar från ett specifikt undernät

Lägg till åtgärd

Skapa uttryck

Exempel: Kräv åtkomst till privat länk för att läsa blobar med hög känslighet

Lägg till åtgärd

Skapa uttryck

Exempel: Tillåt endast åtkomst till en container från en specifik privat slutpunkt

Lägg till åtgärd

Skapa uttryck

Exempel: Tillåt läsåtkomst till mycket känsliga blobdata endast från en specifik privat slutpunkt och av användare som har taggats för åtkomst

Lägg till åtgärd

Skapa uttryck

Nästa steg

Feedback

Ytterligare resurser