Exemplo de condições de atribuição de função do Azure para Armazenamento de Blobs

Este artigo lista alguns exemplos de condições de atribuição de função para controlar o acesso ao Armazenamento de Blobs do Azure.

Importante

O controle de acesso baseado em atributos (ABAC) do Azure está em disponibilidade geral (GA) para controlar o acesso ao Armazenamento de Blobs do Azure, ao Azure Data Lake Storage Gen2 e às Filas do Azure usando os atributos request, resource, environment e principal nas camadas de desempenho das contas de armazenamento Standard e Premium. Atualmente, o atributo de solicitação de inclusão de blob de lista e atributo de solicitação de instantâneo para namespace hierárquico estão em VERSÃO PRÉVIA. Para saber mais sobre o status de recursos do ABAC para o Armazenamento do Azure, confira Status dos recursos de condição no Armazenamento do Azure.

Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Pré-requisitos

Para obter informações sobre os pré-requisitos para adicionar ou editar condições de atribuição de função, confira Pré-requisitos das condições.

Resumo de exemplos deste artigo

Use a seguinte tabela para localizar rapidamente um exemplo que encaixa em seu cenário ABAC. A tabela inclui uma breve descrição do cenário, além de uma lista de atributos usados no exemplo pela origem (ambiente, entidade de segurança, solicitação e recurso).

Exemplo	Ambiente	Entidade de segurança	Solicitação	Recurso
Leitura de blobs com uma marca de índice de blob				etiquetas
Novos blobs devem incluir uma marca de índice de blob			etiquetas
Os blobs existentes devem ter chaves de marca de índice de blob			etiquetas
Os blobs existentes devem ter chaves e valores de marca de índice de blob			etiquetas
Ler, gravar ou excluir blobs em contêineres designados				nome do contêiner
Ler blobs em contêineres nomeados com caminho definido				nome do contêiner caminho do blob
Ler ou listar blobs em contêineres específicos com um caminho			prefixo do blob	nome do contêiner caminho do blob
Gravar blobs em contêineres nomeados com um caminho				nome do contêiner caminho do blob
Leitura de blobs com uma marca de índice de blob e um caminho				marcas caminho do blob
Ler blobs em contêineres com metadados específicos				metadados de contêiner
Gravar ou excluir blobs no contêiner com metadados específicos				metadados de contêiner
Leitura de apenas versões atuais do blob				éVersãoAtual
Leitura das versões atuais do blob e de uma versão específica do blob			versionId	isCurrentVersion
Excluir versões de blob antigas			versionId
Leitura de versões atuais do blob e de quaisquer instantâneos de blob			instantâneo	éVersãoAtual
Permitir que a operação de blob de lista inclua metadados, instantâneos ou versões de blob			list blob include
Restringir a operação de blob de lista para não incluir metadados de blob			list blob include
Ler somente contas de armazenamento com namespace hierárquico habilitado				isHnsEnabled
Leitura de blobs com escopos específicos de criptografia				Nome do escopo de criptografia
Ler ou gravar blobs na conta de armazenamento nomeada com escopo específico de criptografia				Nome da conta de armazenamento Nome do escopo de criptografia
Ler ou gravar blobs com base em marcas de índice de blob e atributos de segurança personalizados		ID	etiquetas	etiquetas
Leitura de blobs com base em marcas de índice de blob e atributos de segurança personalizados de vários valores		ID		etiquetas
Permitir o acesso de leitura dos blobs após uma data e hora específicas	UtcNow			nome do contêiner
Permitir acesso a blobs em contêineres específicos de uma sub-rede específica	Sub-rede			nome do contêiner
Exigir acesso ao link privado para leitura de blobs com alta confidencialidade	isPrivateLink			etiquetas
Permitir o acesso a um contêiner somente de um ponto de extremidade privado específico	Ponto de extremidade privado			nome do contêiner
Exemplo: permitir acesso de leitura a dados de blob altamente confidenciais apenas a partir de um ponto de extremidade privado específico e por usuários marcados para acesso	Ponto de extremidade privado	ID		etiquetas

Marcas de índice de blob

Esta seção inclui exemplos que envolvem marcas de índice de blob.

Importante

Embora a Read content from a blob with tag conditions suboperação atualmente tenha suporte para compatibilidade com condições implementadas durante a visualização de recursos do ABAC, ela foi considerada obsoleta e, portanto, a Microsoft recomenda usar a ação Read a blob.

Ao configurar as condições do ABAC no portal do Azure, você poderá ver PRETERIDO: ler conteúdo de um blob com condições de marca. A Microsoft recomenda remover a operação e substituí-la pela ação Read a blob.

Se você estiver criando sua própria condição em que deseja restringir o acesso de leitura por condições de marca, veja Exemplo: ler blobs com uma marca de índice de blob.

Exemplo: ler blobs com uma marca de índice de blob

Essa condição permite que os usuários leiam blobs com uma chave de marca de índice de blob do Project e um valor de Cascade. Tentativas de acessar blobs sem essa marca de chave-valor não são permitidas.

Para que esta condição seja eficiente para uma entidade de segurança, você deve adicioná-la a todas as atribuições de função que incluam as seguintes ações:

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição mostrando o acesso de leitura a blobs com uma marca de índice de blob.

A condição pode ser adicionada a uma atribuição de função usando o portal do Azure ou o Azure PowerShell. O portal tem duas ferramentas para compilar condições no ABAC - o editor de visual e o editor de código. Você pode alternar entre os dois editores no portal do Azure para ver suas condições em diferentes exibições. Alterne entre a guia editor visual e a guia editor de código para ver os exemplos do editor de portal de sua preferência.

Aqui estão as configurações para adicionar essa condição usando o editor visual do portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	StringEquals
Valor	{keyValue}

Para adicionar a condição usando o editor de código, copie o exemplo de código de condição e cole-o no editor de código. Depois de inserir seu código, volte para o editor de visual para validá-lo.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Neste exemplo, a condição restringe a ação de leitura, exceto quando a suboperação é Blob.List. Isso significa que uma operação Listar Blobs é permitida, mas todas as outras ações de leitura são avaliadas em relação à expressão que verifica a marca de índice de blob.

Se um usuário tentar executar uma ação na função atribuída que não é uma ação restrita pela condição, !(ActionMatches) será avaliada como true e a condição geral será avaliada como verdadeira. Esse resultado permite que a ação seja executada.

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

Exemplo: novos blobs devem incluir uma marca de índice de blob

Essa condição requer que todos os blobs novos incluam uma chave de marca de índice de blob do Project e um valor de Cascade.

Há duas ações que permitem criar novos blobs, portanto, você deve direcionar ambos. Você deve adicionar essa condição a quaisquer atribuições de função que incluam uma das seguintes ações:

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

O diagrama de condição que mostra novos blobs deve incluir uma marca de índice de blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Gravar em um blob com marcas de índice de blob Gravar em um blob com marcas de índice de blob
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	StringEquals
Valor	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

Exemplo: os blobs existentes devem ter chaves de marca de índice de blob

Essa condição exige que todos os blobs existentes sejam marcados com pelo menos uma das chaves de marca de índice de blob permitidas: Projeto ou Programa. Essa condição é útil para adicionar governança aos blobs existentes.

Há duas ações que permitem atualizar tags em blobs existentes, portanto, você deve direcionar ambas. Você deve adicionar essa condição a quaisquer atribuições de função que incluam uma das seguintes ações:

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição que mostra que os blobs existentes devem ter chaves de marca de índice de blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Gravar em um blob com marcas de índice de blob Gravar marcas de índice de blob
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Chaves]
Operador	ForAllOfAnyValues:StringEquals
Valor	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

Exemplo: os blobs existentes devem ter chaves e valores de marca de índice de blob

Essa condição exige que todos os blobs existentes tenham uma chave de marca de índice de blob do Project e os valores de Cascade, Baker ou Skagit. Essa condição é útil para adicionar governança aos blobs existentes.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição mostrando que os blobs existentes devem ter uma chave de marca de índice de blob e valores.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Gravar em um blob com marcas de índice de blob Gravar marcas de índice de blob
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Chaves]
Operador	ParaQualquerDosValores:StringIgual
Valor	{keyName}
Operador	e
Expressão 2
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	ForAllOfAnyValues:StringEquals
Valor	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

Nomes ou caminhos de contêiner de blob

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base no nome do contêiner ou no caminho do blob.

Exemplo: ler, gravar ou excluir blobs em contêineres nomeados

Essa condição permite que os usuários leiam, gravem ou excluam blobs em contêineres de armazenamento chamados blobs-example-container. Essa condição é útil para compartilhar contêineres de armazenamento específicos com outros usuários em uma assinatura.

Há cinco ações para leitura, gravação e exclusão de blobs existentes. Você deve adicionar essa condição a quaisquer atribuições de função que incluam uma das ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou poderão ser habilitados no futuro.

As suboperações não são utilizadas nessa condição porque só são necessárias quando as condições são criadas com base em etiquetas.

Diagrama de condição mostrando a leitura, gravação ou exclusão de blobs em contêineres específicos.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Excluir um blob Ler um blob Gravar em um blob Criar um blob, um instantâneo ou acrescentar dados Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}

Proprietário de dados do blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Colaborador de Dados de Armazenamento de Blobs

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

Exemplo: ler blobs em contêineres nomeados com um caminho

Essa condição permite acesso de leitura a contêineres de armazenamento chamados blobs-example-container com um caminho de blob de readonly/*. Essa condição é útil para compartilhar partes específicas de contêineres de armazenamento para acesso de leitura com outros usuários na assinatura.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou poderão ser habilitados no futuro.

Diagrama de condição mostrando o acesso de leitura a blobs em contêineres nomeados com um caminho.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	e
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringLike
Valor	{pathString}

Proprietário de dados do blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

Exemplo: ler ou listar blobs em contêineres nomeados com um caminho

Essa condição permite acesso de leitura e também lista o acesso a contêineres de armazenamento chamados blobs-example-container com um caminho de blob de readonly/*. A primeira condição aplica-se a ações de leitura, exceto listar blobs. A condição nº 2 aplica-se aos blobs de lista. Essa condição é útil para compartilhar partes específicas de contêineres de armazenamento para acesso de leitura ou de listagem com outros usuários na assinatura.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou poderão ser habilitados no futuro.

Diagrama de condições mostrando acesso de leitura e listagem a blobs em contêineres nomeados que possuem um caminho.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Observação

O portal do Azure usa prefixo='' para listar blobs do diretório raiz do contêiner. Depois que a condição for adicionada com a operação de listagem de blobs usando o prefixo StringStartsWith 'readonly/', os usuários específicos não poderão listar blobs do diretório raiz do contêiner no portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	e
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringStartsWith
Valor	{pathString}

Condição nº 2	Configurações
Ações	Listar blobs Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	e
Origem do atributo	Solicitação
Atributo	Prefixo do blob
Operador	StringStartsWith
Valor	{pathString}

Proprietário de dados do blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: gravar blobs em contêineres nomeados com um caminho

Essa condição permite que um parceiro (um usuário convidado do Microsoft Entra) solte arquivos em contêineres de armazenamento chamados Contosocorp, utilizando o caminho uploads/contoso/*. Essa condição é útil para permitir que outros usuários coloquem dados em contêineres de armazenamento.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou poderão ser habilitados no futuro.

Diagrama de condição mostrando o acesso de gravação a blobs em contêineres específicos com um caminho.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Gravar em um blob Criar um blob, um instantâneo ou acrescentar dados Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Nome do contêiner
Operador	StringEquals
Valor	{containerName}
Expressão 2
Operador	e
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringLike
Valor	{pathString}

Proprietário de dados do blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Colaborador de Dados de Armazenamento de Blobs

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

Exemplo: ler blobs com uma marca de índice de blob e um caminho

Essa condição permite que um usuário leia blobs com uma chave de marca de índice de blob do Program, um valor de Alpine e um caminho de blob de logs*. O caminho de blob de logs* também inclui o nome do blob.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição mostrando o acesso de leitura a blobs com uma marca de índice de blob e um caminho específico.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	{keyName}
Operador	StringEquals
Valor	{keyValue}

Condição nº 2	Configurações
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Caminho do Blob
Operador	StringLike
Valor	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

Neste exemplo, a condição restringe a ação de leitura, exceto quando a suboperação é Blob.List. Isso significa que uma operação Listar Blobs é permitida, mas todas as outras ações de leitura são avaliadas ainda mais em relação à expressão que verifica a marca e o caminho do índice de blob.

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Veja como testar essa condição.

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

Metadados do contêiner de blobs

Exemplo: ler blobs no contêiner com metadados específicos

Essa condição permite que os usuários leiam blobs em contêineres de blobs com um par chave/valor de metadados específico.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Metadados de contêiner
Operador	StringEquals
Valor	{containerName}

Leitor de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: gravar ou excluir blobs no contêiner com metadados específicos

Essa condição permite que os usuários gravem ou excluam blobs em contêineres de blob com um par chave/valor de metadados específico.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Gravar em um blob Excluir um blob
Origem do atributo	Recurso
Atributo	Metadados de contêiner
Operador	StringEquals
Valor	{containerName}

Colaborador de Dados de Armazenamento de Blobs

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição usando o Azure PowerShell.

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Versões ou instantâneos de blob

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base na versão do blob ou no snapshot.

Exemplo: ler apenas versões atuais do blob

Essa condição permite que um usuário leia apenas as versões atuais do blob. O usuário não pode ler outras versões de blobs.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição que mostra o acesso de leitura somente à versão atual do blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	É a versão atual
Operador	BoolEquals
Valor	Verdade

Proprietário de dados do blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: ler as versões atuais do blob e uma versão específica do blob

Essa condição permite que um usuário leia as versões atuais dos blobs, bem como leia blobs com uma ID de versão de 2022-06-01T23:38:32.8883645Z. O usuário não pode ler outras versões de blobs. O atributo ID de versão está disponível apenas para contas de armazenamento em que o namespace hierárquico não está habilitado.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Diagrama de condição mostrando o acesso de leitura a uma versão específica do blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob
Origem do atributo	Solicitação
Atributo	ID da Versão
Operador	DateTimeEquals
Valor	<blobVersionId>
Expressão 2
Operador	Ou
Origem do atributo	Recurso
Atributo	É a versão atual
Operador	BoolEquals
Valor	Verdade

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: excluir versões antigas do blob

Essa condição permite que um usuário exclua versões de um blob mais antigas do que 01/06/2022 para realizar a limpeza. O atributo ID de versão está disponível apenas para contas de armazenamento em que o namespace hierárquico não está habilitado.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

Diagrama mostrando a exclusão de acesso a versões antigas de blobs.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Excluir um blob Excluir uma versão de um blob
Origem do atributo	Solicitação
Atributo	ID da Versão
Operador	DateTimeLessThan
Valor	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: ler versões atuais do blob e quaisquer instantâneos de blob

Essa condição permite que um usuário leia as versões atuais do blob e quaisquer instantâneos de blob. O atributo ID de versão está disponível apenas para contas de armazenamento em que o namespace hierárquico não está habilitado. O atributo Snapshot está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado e atualmente em versão prévia para contas de armazenamento em que o namespace hierárquico está habilitado.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição que mostra o acesso de leitura às versões atuais do blob e a quaisquer instantâneos de blob.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Solicitação
Atributo	Instantâneo
Existe	Verificado
Expressão 2
Operador	Ou
Origem do atributo	Recurso
Atributo	É a versão atual
Operador	BoolEquals
Valor	Verdade

Proprietário de dados do blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: permitir que a operação de blob de lista inclua metadados, instantâneos ou versões de blob

Essa condição permite que um usuário liste blobs em um contêiner e inclua metadados, instantâneos e informações de versão. O atributo Incluir blob de lista está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado.

Observação

List blobs include é um atributo de solicitação e funciona permitindo ou restringindo valores no include parâmetro ao chamar a operação List Blobs. Os valores no include parâmetro são comparados com os valores especificados na condição usando operadores de comparação entre produtos. Se a comparação for avaliada como true, a solicitação List Blobs será permitida. Se a comparação for avaliada como false, a solicitação List Blobs será negada.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Listar blobs
Origem do atributo	Solicitação
Atributo	Incluir blobs de lista
Operador	ForAllOfAnyValues:StringEqualsIgnoreCase
Valor	{'metadados', 'instantâneos', 'versões'}

Leitor de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

Neste exemplo, a condição restringe a ação de leitura quando a suboperação é Blob.List. Isso significa que uma operação Listar Blobs é adicionalmente avaliada pela expressão que verifica os include valores, mas todas as outras ações de leitura são permitidas.

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: restringir a operação de blob de lista para não incluir metadados de blob

Essa condição restringe um usuário a listar blobs quando os metadados são incluídos na requisição. O atributo Incluir blob de lista está disponível para contas de armazenamento em que o namespace hierárquico não está habilitado.

Observação

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Listar blobs
Origem do atributo	Solicitação
Atributo	Incluir blobs de lista
Operador	ForAllOfAllValues:StringNotEquals
Valor	{'metadados'}

Leitor de Dados do Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Namespace hierárquico

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base em se o namespace hierárquico está habilitado para uma conta de armazenamento.

Exemplo: ler somente contas de armazenamento com namespace hierárquico habilitado

Essa condição permite que um usuário leia apenas blobs em contas de armazenamento com namespace hierárquico habilitado. Essa condição é aplicável somente no escopo do grupo de recursos ou superior.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição que mostra o acesso de leitura a contas de armazenamento com namespace hierárquico habilitado.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob Todas as operações de dados para contas com namespace hierárquico habilitado (se aplicável)
Origem do atributo	Recurso
Atributo	Está habilitado para namespace hierárquico
Operador	BoolEquals
Valor	Verdade

Proprietário de dados do blob de armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Leitor de Dados de Blob de Armazenamento, Colaborador de Dados de Blob de Armazenamento

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

Neste exemplo, a condição restringe a ação de leitura, exceto quando a suboperação é Blob.List. Isso significa que uma operação de Lista de Blobs é permitida, mas todas as outras ações de leitura são avaliadas com base na expressão que verifica o namespace hierárquico.

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Escopo de criptografia

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com um escopo de criptografia aprovado.

Exemplo: ler blobs com escopos específicos de criptografia

Essa condição permite que um usuário leia blobs criptografados com escopo validScope1 de criptografia ou validScope2.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Diagrama de condição mostrando o acesso de leitura a blobs com escopo de criptografia validScope1 ou validScope2.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob
Origem do atributo	Recurso
Atributo	Nome do escopo de criptografia
Operador	ParaQualquerDosValores:StringIgual
Valor	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: Ler ou gravar blobs em uma conta de armazenamento nomeada com um escopo específico de criptografia

Essa condição permite que um usuário leia ou grave blobs em uma conta de armazenamento nomeada sampleaccount e criptografada com escopo ScopeCustomKey1de criptografia. Se os blobs não forem criptografados ou descriptografados com ScopeCustomKey1, a solicitação retornará negada.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Observação

Como os escopos de criptografia para contas de armazenamento diferentes podem ser diferentes, é recomendável usar o storageAccounts:name atributo com o encryptionScopes:name atributo para restringir o escopo de criptografia específico a ser permitido.

Diagrama de condição mostrando o acesso de leitura ou gravação a blobs na conta de armazenamento sampleaccount com escopo de criptografia ScopeCustomKey1.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler um blob Gravar em um blob Criar um blob, um instantâneo ou acrescentar dados
Origem do atributo	Recurso
Atributo	Nome da conta
Operador	StringEquals
Valor	<nome da conta>
Expressão 2
Operador	e
Origem do atributo	Recurso
Atributo	Nome do escopo de criptografia
Operador	ParaQualquerDosValores:StringIgual
Valor	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Atributos principais

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base em entidades de segurança personalizadas.

Exemplo: ler ou gravar blobs com base em marcas de índice de blob e atributos de segurança personalizados

Essa condição permite acesso de leitura e gravação aos blobs se o usuário tiver um atributo de segurança personalizado que corresponda à marca de índice de blob.

Por exemplo, se Brenda tiver o atributo Project=Baker, ela só poderá ler ou gravar blobs com a etiqueta de índice de blob Project=Baker. Da mesma forma, Chandra só pode ler ou gravar blobs com Project=Cascade.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam as ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Para obter mais informações, veja Permitir acesso de leitura a blobs com base em marcadores e atributos de segurança personalizados.

Diagrama de condições mostrando o acesso de leitura ou gravação a blobs com base em marcas de índice de blob e atributos de segurança personalizados.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler as condições de um blob
Origem do atributo	Entidade de segurança
Atributo	<attributeset>_<key>
Operador	StringEquals
Opção	Atributo
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	<chave>

Condição nº 2	Configurações
Ações	Gravar em um blob com marcas de índice de blob Gravar em um blob com marcas de índice de blob
Origem do atributo	Entidade de segurança
Atributo	<attributeset>_<key>
Operador	StringEquals
Opção	Atributo
Origem do atributo	Solicitação
Atributo	Marcas de índice de blob [Valores na chave]
Chave	<chave>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Exemplo: ler blobs com base em marcas de índice de blob e atributos de segurança personalizados de vários valores

Essa condição permite acesso de leitura aos blobs se o usuário tiver um atributo de segurança personalizado com quaisquer valores que correspondam à marca de índice de blob.

Por exemplo, se a Project tem o atributo Project com os valores Padeiro e Cascata, ela só poderá ler blobs com a marca de índice Project=Baker ou Project=Cascade do blob.

Você deve adicionar essa condição a quaisquer atribuições de função que incluam a ação a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Para obter mais informações, veja Permitir acesso de leitura a blobs com base em marcadores e atributos de segurança personalizados.

Diagrama de condição mostrando o acesso de leitura a blobs com base em marcas de índice de blob e atributos de segurança personalizados com múltiplos valores.

Aqui estão as configurações para adicionar essa condição usando o portal do Azure.

Condição nº 1	Configurações
Ações	Ler as condições de um blob
Origem do atributo	Recurso
Atributo	Marcas de índice de blob [Valores na chave]
Chave	<chave>
Operador	ParaQualquerDosValores:StringIgual
Opção	Atributo
Origem do atributo	Entidade de segurança
Atributo	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Atributos de ambiente

Esta seção inclui exemplos que mostram como restringir o acesso a objetos com base no ambiente de rede ou na data e hora atuais.

Exemplo: permitir acesso de leitura dos blobs após uma data e hora específicas

Essa condição permite o acesso de leitura ao contêiner de blob container1 somente após as 13h do dia 1º de maio de 2023, no Horário Universal Coordenado (UTC).

Existem duas possíveis ações para ler blobs existentes. Para tornar essa condição eficaz para principais que têm várias atribuições de função, você deve adicionar essa condição a todas as atribuições de função que incluem qualquer uma das ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Adicionar ação

Selecione Adicionar ação e depois selecione apenas a suboperação Ler um blob, como mostrado na tabela a seguir.

Ação	Suboperação
Todas as operações de leitura	Ler um blob

Não selecione a ação todas as operações de leitura de nível superior ou qualquer outra suboperação, conforme mostrado na imagem a seguir:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Configurações Valor

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringEquals

Valor container1

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo UtcNow

Operador DateTimeGreaterThan

Valor 2023-05-01T13:00:00.000Z

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

Para adicionar a condição usando o editor de código, copie o exemplo de código de condição a seguir e cole-o no editor de código. Depois de inserir seu código, volte para o editor de visual para validá-lo.

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição para a função Leitor de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: permitir o acesso a blobs em contêineres específicos de uma sub-rede específica

Esta condição permite acesso de leitura, gravação, adição e exclusão a blobs container1apenas a partir da sub-rede default na rede virtual virtualnetwork1. Para usar o atributo sub-rede neste exemplo, a sub-rede deve ter pontos de extremidade de serviço habilitados para o Armazenamento do Azure.

Há cinco ações possíveis para leitura, escrita, adição e exclusão de acesso a blobs existentes. Para tornar essa condição eficaz para principais que têm várias atribuições de função, você deve adicionar essa condição a todas as atribuições de função que incluem qualquer uma das ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Adicionar ação

Selecione Adicionar ação e selecione apenas as ações de nível superior mostradas na tabela a seguir.

Ação	Suboperação
Todas as operações de leitura	n/a
Gravar em um blob	n/a
Criar um blob ou um instantâneo ou acrescentar dados	n/a
Excluir um blob	n/a

Não selecione nenhuma suboperação individual, conforme mostrado na imagem a seguir:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Configurações Valor

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringEquals

Valor container1

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo Sub-rede

Operador StringEqualsIgnoreCase - Função para comparar strings desconsiderando maiúsculas e minúsculas

Valor /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição para a função Colaborador de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: exigir acesso de link privado para leitura de blobs com alta confidencialidade

Esta condição exige que as solicitações de leitura de blobs em que a confidencialidade da marca de índice de blob tenha um valor de high para estar em um link privado (qualquer link privado). Isso significa que todas as tentativas de ler blobs altamente confidenciais da Internet pública não serão permitidas. Os usuários podem ler blobs da Internet pública que têm sensibilidade definida como algum valor diferente de high.

Segue uma tabela de verdade para esta condição de amostra do ABAC:

Ação	Sensibilidade	Link privado	Acesso
Ler um blob	high	Sim	Permitido
Ler um blob	high	Não	Não Permitido
Ler um blob	NÃO alta	Sim	Permitido
Ler um blob	NÃO alta	Não	Permitido

Ação Anotações

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Aqui estão as configurações para adicionar essa condição usando o editor de condição visual no portal do Azure.

Adicionar ação

Selecione Adicionar ação e depois selecione apenas a suboperação Ler um blob, como mostrado na tabela a seguir.

Ação	Suboperação
Todas as operações de leitura	Ler um blob

Não selecione a ação Todas as operações de leitura de nível superior de qualquer outra sub-operação conforme mostrado na seguinte imagem:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Grupo Configurações Valor

Grupo nº 1

Origem do atributo Recurso

Atributo Marcas de índice de blob [Valores na chave]

Chave sensitivity

Operador StringEquals

Valor high

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo É um link privado

Operador BoolEquals

Valor True

Fim do Grupo nº 1

Operador lógico 'OR'

Origem do atributo Recurso

Atributo Marcas de índice de blob [Valores na chave]

Chave sensitivity

Operador StringNotEquals

Valor high

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição para a função Leitor de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: permitir o acesso a um contêiner somente de um ponto de extremidade privado específico

Essa condição exige que todas as operações de leitura, gravação, adição e exclusão para blobs em um contêiner de armazenamento nomeado container1 sejam feitas por meio de um ponto de extremidade privado chamado privateendpoint1. Para todos os outros contêineres não nomeados container1, o acesso não precisa ser através do endpoint privado.

Há cinco ações potenciais para leitura, gravação e exclusão de blobs existentes. Para tornar essa condição eficaz para principais que têm várias atribuições de função, você deve adicionar essa condição a todas as atribuições de função que incluem qualquer uma das ações a seguir.

Ação	Anotações
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento. Adicione se as contas de armazenamento incluídas nessa condição tiverem o namespace hierárquico habilitado ou poderão ser habilitados no futuro.

Aqui estão as configurações para adicionar essa condição usando o editor de condição visual no portal do Azure.

Adicionar ação

Selecione Adicionar ação e selecione apenas as ações de nível superior mostradas na tabela a seguir.

Ação	Suboperação
Todas as operações de leitura	n/a
Gravar em um blob	n/a
Criar um blob ou um instantâneo ou acrescentar dados	n/a
Excluir um blob	n/a

Não selecione nenhuma suboperação individual, conforme mostrado na imagem a seguir:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Grupo Configurações Valor

Grupo nº 1

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringEquals

Valor container1

Operador lógico 'AND'

Origem do atributo Ambiente

Atributo Endpoint privado

Operador StringEqualsIgnoreCase - Função para comparar strings desconsiderando maiúsculas e minúsculas

Valor /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

Fim do Grupo nº 1

Operador lógico 'OR'

Origem do atributo Recurso

Atributo Nome do contêiner

Operador StringNotEquals

Valor container1

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

Para adicionar a condição usando o editor de código, escolha um dos exemplos de código de condição a seguir, dependendo da função associada à atribuição. Depois de inserir seu código, volte para o editor de visual para validá-lo.

Proprietário de Dados de Blob de Armazenamento:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Colaborador de Dados de Blob de Armazenamento:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição para a função Colaborador de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Exemplo: permitir acesso de leitura a dados de blob altamente confidenciais somente de um endpoint privado específico e por usuários identificados para acesso.

Esta condição exige que blobs com confidencialidade de marca de índice definida como high possam ser lidos somente por usuários que tenham um valor correspondente para o atributo de segurança de confidencialidade. Além disso, eles devem ser acessados por meio de um ponto de extremidade privado nomeado privateendpoint1. Os blobs que têm um valor diferente para a marca de confidencialidade podem ser acessados por outros pontos de extremidade ou pela Internet.

Ação Anotações

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action Adicione se a definição de função incluir essa ação, como Proprietário de Dados do Blob de Armazenamento.

Aqui estão as configurações para adicionar essa condição usando o editor de condição visual no portal do Azure.

Adicionar ação

Selecione Adicionar ação e depois selecione apenas a suboperação Ler um blob, como mostrado na tabela a seguir.

Ação	Suboperação
Todas as operações de leitura	Ler um blob

Não selecione a ação de nível superior, conforme mostrado na imagem a seguir:

Compilar expressão

Use os valores na seguinte tabela para compilar a parte da expressão da condição:

Grupo	Configurações	Valor
Grupo nº 1
	Origem do atributo	Entidade de segurança
	Atributo	<attributeset>_<key>
	Operador	StringEquals
	Opção	Atributo
	Operador lógico	'AND'
	Origem do atributo	Recurso
	Atributo	Marcas de índice de blob [Valores na chave]
	Chave	<chave>
	Operador lógico	'AND'
	Origem do atributo	Ambiente
	Atributo	Endpoint privado
	Operador	StringEqualsIgnoreCase - Função para comparar strings desconsiderando maiúsculas e minúsculas
	Valor	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
Fim do Grupo nº 1
	Operador lógico	'OR'
	Origem do atributo	Recurso
	Atributo	Marcas de índice de blob [Valores na chave]
	Chave	`sensitivity`
	Operador	StringNotEquals
	Valor	`high`

A seguinte imagem mostra a condição após as configurações serem inseridas no portal do Azure. Você deve agrupar as expressões para garantir a avaliação correta.

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

Para saber mais sobre como as condições são formatadas e avaliadas, consulte o formato Condições.

Veja como adicionar essa condição para a função Leitor de Dados de Blob de Armazenamento usando o Azure PowerShell.

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

Próximas etapas

Comentários

Esta página foi útil?

Last updated on 2025-05-06

Compartilhar via

Exemplo de condições de atribuição de função do Azure para Armazenamento de Blobs

Pré-requisitos

Resumo de exemplos deste artigo

Marcas de índice de blob

Exemplo: ler blobs com uma marca de índice de blob

Exemplo: novos blobs devem incluir uma marca de índice de blob

Exemplo: os blobs existentes devem ter chaves de marca de índice de blob

Exemplo: os blobs existentes devem ter chaves e valores de marca de índice de blob

Nomes ou caminhos de contêiner de blob

Exemplo: ler, gravar ou excluir blobs em contêineres nomeados

Exemplo: ler blobs em contêineres nomeados com um caminho

Exemplo: ler ou listar blobs em contêineres nomeados com um caminho

Exemplo: gravar blobs em contêineres nomeados com um caminho

Exemplo: ler blobs com uma marca de índice de blob e um caminho

Metadados do contêiner de blobs

Exemplo: ler blobs no contêiner com metadados específicos

Exemplo: gravar ou excluir blobs no contêiner com metadados específicos

Versões ou instantâneos de blob

Exemplo: ler apenas versões atuais do blob

Exemplo: ler as versões atuais do blob e uma versão específica do blob

Exemplo: excluir versões antigas do blob

Exemplo: ler versões atuais do blob e quaisquer instantâneos de blob

Exemplo: permitir que a operação de blob de lista inclua metadados, instantâneos ou versões de blob

Exemplo: restringir a operação de blob de lista para não incluir metadados de blob

Namespace hierárquico

Exemplo: ler somente contas de armazenamento com namespace hierárquico habilitado

Escopo de criptografia

Exemplo: ler blobs com escopos específicos de criptografia

Exemplo: Ler ou gravar blobs em uma conta de armazenamento nomeada com um escopo específico de criptografia

Atributos principais

Exemplo: ler ou gravar blobs com base em marcas de índice de blob e atributos de segurança personalizados

Exemplo: ler blobs com base em marcas de índice de blob e atributos de segurança personalizados de vários valores

Atributos de ambiente

Exemplo: permitir acesso de leitura dos blobs após uma data e hora específicas

Adicionar ação

Compilar expressão

Exemplo: permitir o acesso a blobs em contêineres específicos de uma sub-rede específica

Adicionar ação

Compilar expressão

Exemplo: exigir acesso de link privado para leitura de blobs com alta confidencialidade

Adicionar ação

Compilar expressão

Exemplo: permitir o acesso a um contêiner somente de um ponto de extremidade privado específico

Adicionar ação

Compilar expressão

Exemplo: permitir acesso de leitura a dados de blob altamente confidenciais somente de um endpoint privado específico e por usuários identificados para acesso.

Adicionar ação

Compilar expressão

Próximas etapas

Comentários

Recursos adicionais