Compartir a través de

Azure Blob 存储的 Azure 角色分配条件的操作和属性

本文介绍了支持的属性字典,可在每个 Azure 存储 DataAction 的 Azure 角色分配条件中使用。 有关特定权限或 DataAction 影响的 Blob 服务操作列表,请参阅 Blob 服务操作的权限

若要了解角色分配条件格式,请参阅 Azure 角色分配条件格式和语法

重要

Azure 基于属性的访问控制 (Azure ABAC) 已正式发布 (GA),用于使用标准和高级存储帐户性能层中的 requestresourceenvironmentprincipal 属性控制对 Azure Blob 存储、Azure Data Lake Storage Gen2 和 Azure 队列的访问。 目前,“容器元数据”资源属性和“列出 Blob 操作的所含内容”请求属性处于预览状态。 有关 Azure 存储 ABAC 的完整功能状态信息,请参阅 Azure 存储中条件功能的状态

有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款

子操作

多个存储服务操作可以与单个权限或 DataAction 相关联。 但是,与同一权限相关联的每个操作都可能支持不同的参数。 “子操作”能够区分需要相同权限但支持不同条件属性集的服务操作。 因此,通过使用子操作,可以指定一个条件来访问支持给定参数的操作的子集。 然后,可以对不支持该参数的相同操作使用另一个操作访问条件。

例如,对于数十个不同的服务操作,Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 操作是必需的。 其中一些操作可以接受 blob 索引标记作为请求参数,而其他操作则不能。 对于接受 blob 索引标记作为参数的操作,可以在请求条件中使用 blob 索引标记。 但是,如果在 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 操作上定义了此类条件,则不接受标记作为请求参数的所有操作都无法评估此条件,并且无法通过授权访问检查。

在这种情况下,可以使用可选子操作 Blob.Write.WithTagHeaders 来将条件仅应用于支持 blob 索引标记作为请求参数的操作。

注意

Blob 还能够存储任意用户定义的键值元数据。 尽管元数据与 blob 索引标记类似,但必须使用带条件的 blob 索引标记。 有关详细信息,请查看使用 Blob 索引标记管理和查找 Azure Blob 数据

Azure Blob 存储操作和子操作

本部分列出了可在条件中指定为目标的受支持 Azure Blob 存储操作和子操作。 下表汇总了它们:

显示名称 DataAction 子操作
读取操作
按标记查找 Blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action 不适用
列出 Blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Blob.List
读取 blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read NOT Blob.List
读取 blob 索引标记 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read 不适用
读取具有标记条件的 Blob 中的内容
(已启用)
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Blob.Read.WithTagConditions
写入操作
创建 blob 或快照,或追加数据 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action 不适用
删除 Blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete 不适用
删除 blob 的版本 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action 不适用
永久删除 blob 替代软删除 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action 不适用
重命名文件或目录 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action 不适用
在 Blob 上设置访问层 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Blob.Write.Tier
写入 blob 索引标记 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write 不适用
编写 Blob 法定保留和不可变性策略 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action 不适用
写入到 blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 不适用
写入到具有 blob 索引标记的 blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Blob.Write.WithTagHeaders
权限操作
更改 Blob 的所有权 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action 不适用
修改 blob 的权限 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action 不适用
HNS 操作
帐户的所有数据操作均已启用分层命名空间 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action 不适用

列出 Blob

属性
显示名称 列出 Blob
说明 列出 Blob 操作。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
“子操作” Blob.List
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
请求属性 Blob 前缀
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
示例:使用路径读取或列出命名容器中的 blob

读取 blob

属性
显示名称 读取 blob
说明 除列出之外的所有 Blob 读取操作。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
“子操作” 不是 Blob.List
资源属性 帐户名称
是否为当前版本
层次结构命名空间是否已启用
容器名称
Blob 路径
加密范围名称
请求属性 版本 ID
快照
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
示例:使用路径读取命名容器中的 blob

从具有标记条件的 blob 中读取内容

重要

Read content from a blob with tag conditions 子操作已弃用。 尽管目前支持它与 ABAC 功能预览期间实现的条件兼容,但 Azure 建议改用读取 blob 操作。

在 Azure 门户中配置 ABAC 条件时,可能会出现“已弃用: 从具有标记条件的 Blob 中读取内容”。 Azure 建议删除该操作并将其替换为 Read a blob 操作。

如果要创作自己的条件,希望通过标记条件来限制读取访问,请参阅示例:使用 blob 索引标记读取 Blob

读取 blob 索引标记

属性
显示名称 读取 blob 索引标记
说明 用于读取 blob 索引标记的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
“子操作” n/a
资源属性 帐户名称
是否为当前版本
层次结构命名空间是否已启用
容器名称
Blob 路径
blob 索引标记 [键中的值]
blob 索引标记 [键]
请求属性 版本 ID
快照
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
了解详细信息 通过 Blob 索引标记管理和查找 Azure Blob 数据

按标记查找 Blob

属性
显示名称 按标记查找 Blob
说明 用于按索引标记查找 Blob 的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)

写入到 blob

属性
显示名称 写入到 blob
说明 用于写入到 blob 的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
加密范围名称
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
示例:读取、写入或删除命名容器中的 blob

在 Blob 上设置访问层

属性
显示名称 在 Blob 上设置访问层
说明 用于写入到 blob 的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
“子操作” Blob.Write.Tier
资源属性 帐户名称
是否为当前版本
层次结构命名空间是否已启用
容器名称
Blob 路径
加密范围名称
请求属性 版本 ID
快照
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.Tier'})

写入到具有 blob 索引标记的 blob

属性
显示名称 写入到具有 blob 索引标记的 blob
说明 REST 操作:放置 Blob、放置块列表、复制 Blob 和从 URL 复制 Blob。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
“子操作” Blob.Write.WithTagHeaders
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
加密范围名称
请求属性 blob 索引标记 [键中的值]
blob 索引标记 [键]
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
示例:新 blob 必须包含 blob 索引标记
了解详细信息 通过 Blob 索引标记管理和查找 Azure Blob 数据

创建 blob 或快照,或追加数据

属性
显示名称 创建 blob 或快照,或追加数据
说明 用于创建 blob 的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
加密范围名称
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
示例:读取、写入或删除命名容器中的 blob

写入 blob 索引标记

属性
显示名称 写入 blob 索引标记
说明 用于写入 blob 索引标记的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
“子操作” n/a
资源属性 帐户名称
是否为当前版本
层次结构命名空间是否已启用
容器名称
Blob 路径
blob 索引标记 [键中的值]
blob 索引标记 [键]
请求属性 blob 索引标记 [键中的值]
blob 索引标记 [键]
版本 ID
快照
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
示例:现有 blob 必须具有 blob 索引标记键
了解详细信息 通过 Blob 索引标记管理和查找 Azure Blob 数据
属性
显示名称 编写 Blob 法定保留和不可变性策略
说明 用于编写 Blob 法定保留和不可变策略的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)

删除 Blob

属性
显示名称 删除 Blob
说明 用于删除 blob 的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
“子操作” n/a
资源属性 帐户名称
是否为当前版本
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性 版本 ID
快照
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
示例:读取、写入或删除命名容器中的 blob

删除 blob 的版本

属性
显示名称 删除 blob 的版本
说明 用于删除 blob 的版本的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性 版本 ID
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
示例:删除旧 blob 版本

永久删除 blob 替代软删除

属性
显示名称 永久删除 blob 替代软删除
说明 用于永久删除 blob 替代软删除的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action
“子操作” n/a
资源属性 帐户名称
是否为当前版本
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性 版本 ID
快照
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)

修改 blob 的权限

属性
显示名称 修改 blob 的权限
说明 用于修改 blob 的权限的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)

更改 Blob 的所有权

属性
显示名称 更改 Blob 的所有权
说明 用于更改 blob 的所有权的DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)

重命名文件或目录

属性
显示名称 重命名文件或目录
说明 用于重命名文件或目录的 DataAction。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action
“子操作” n/a
资源属性 帐户名称
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)

帐户的所有数据操作均已启用分层命名空间

属性
显示名称 帐户的所有数据操作均已启用分层命名空间
说明 存储帐户上所有数据操作的 DataAction 均已启用分层命名空间。
如果角色定义包含 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action 操作,则应在条件中将此操作指定为目标。 如果为存储帐户启用了分层命名空间,则将此操作指定为目标可确保条件仍按预期方式工作。
DataAction Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action
“子操作” n/a
资源属性 帐户名称
是否为当前版本
层次结构命名空间是否已启用
容器名称
Blob 路径
请求属性
主体属性支持 True
环境属性 是专用链接
专用终结点
子网
现在 (UTC)
示例 示例:读取、写入或删除命名容器中的 blob
示例:使用路径读取命名容器中的 blob
示例:使用路径读取或列出命名容器中的 blob
示例:使用路径在命名容器中写入 blob
示例:仅读取当前 blob 版本
示例:读取当前 blob 版本和任何 blob 快照
示例:仅读取已启用分层命名空间的存储帐户
了解详细信息 Azure Data Lake Storage 分层命名空间

Azure Blob 存储属性

本部分列出了可在条件表达式中根据目标操作使用的 Azure Blob 存储属性。 如果为单个条件选择多个操作,则可为条件选择的特性可能较少,因为这些特性必须在所选操作中可用。

注意

除非另有说明,否则列出的属性和值视为不区分大小写。

下表按源汇总了可用属性:

属性源 Display name 说明
环境
是专用链接 访问是否通过专用链接进行
专用终结点 用于访问对象的专用终结点
子网 用于访问对象的子网
现在 (UTC) 当前日期和时间(协调世界时)
请求
blob 索引标记 [键] blob 资源(键)的索引标记;仅适用于未启用分层命名空间的存储帐户
blob 索引标记 [键中的值] blob 资源(键中的值)的索引标记;仅适用于未启用分层命名空间的存储帐户
Blob 前缀 允许列出的 blob 的前缀
列出 Blob 包含 可以随列出操作一起包含的信息,例如元数据、快照或版本
快照 blob 快照的快照标识符
版本 ID 进行版本控制 blob 的版本 ID;仅适用于未启用分层命名空间的存储帐户
资源
帐户名称 存储帐户名称
blob 索引标记 [键] blob 资源上的索引标记(键)
blob 索引标记 [键中的值] blob 资源上的索引标记(键中的值)
Blob 路径 虚拟目录、blob、文件夹或文件资源的路径
容器名称 存储容器或文件系统的名称
容器元数据 与容器关联的元数据键/值对
加密范围名称 用于加密数据的加密范围的名称
是当前版本 资源是否为 blob 的当前版本
层次结构命名空间是否已启用 存储帐户上是否已启用分层命名空间

帐户名

属性
显示名称 帐户名
说明 存储帐户的名称。
Attribute Microsoft.Storage/storageAccounts:name
特性源 资源
属性类型 字符串
示例 @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
示例:在具有特定加密范围的命名存储帐户中读取或写入 blob

blob 索引标记 [键]

属性
显示名称 blob 索引标记 [键]
说明 blob 资源上的索引标记。
可以与 blob 资源一起存储的任意用户定义的键值属性。 想要检查 blob 索引标记中的键时使用。
仅适用于未启用分层命名空间的存储帐户。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&
特性源 资源
请求
属性类型 StringList
键是否区分大小写 正确
分层命名空间支持 False
示例 @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
示例:现有 blob 必须具有 blob 索引标记键
了解详细信息 通过 Blob 索引标记管理和查找 Azure Blob 数据
Azure Data Lake Storage 分层命名空间

blob 索引标记 [键中的值]

属性
显示名称 blob 索引标记 [键中的值]
说明 blob 资源上的索引标记。
可以与 blob 资源一起存储的任意用户定义的键值属性。 想要检查 blob 索引标记中的键(区分大小写)和值时使用。
仅适用于未启用分层命名空间的存储帐户。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags
特性源 资源
请求
属性类型 字符串
键是否区分大小写 正确
分层命名空间支持 False
示例 @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:keyname<$key_case_sensitive$>
@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
示例:使用 blob 索引标记读取 blob
了解详细信息 通过 Blob 索引标记管理和查找 Azure Blob 数据
Azure Data Lake Storage 分层命名空间

Blob 路径

属性
显示名称 Blob 路径
说明 虚拟目录、blob、文件夹或文件资源的路径。
想要检查 blob 路径中的 blob 名称或文件夹时使用。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path
特性源 资源
属性类型 字符串
示例 @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
示例:使用路径读取命名容器中的 blob

注意

Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path 属性指定条件时,值不应包含容器名称或前导斜杠 (/) 字符。 使用不带任何 URL 编码的路径字符。

Blob 前缀

属性
显示名称 Blob 前缀
说明 允许列出的 Blob 的前缀。
虚拟目录或文件夹资源的路径。 想要检查 Blob 路径中的文件夹时使用。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix
特性源 请求
属性类型 字符串
示例 @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
示例:使用路径读取或列出命名容器中的 blob

注意

Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix 属性指定条件时,值不应包含容器名称或前导斜杠 (/) 字符。 使用不带任何 URL 编码的路径字符。

容器名称

属性
显示名称 容器名称
说明 存储容器或文件系统的名称。
想要检查容器名称时使用。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers:name
特性源 资源
属性类型 字符串
示例 @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
示例:读取、写入或删除命名容器中的 blob

容器元数据

属性
显示名称 容器元数据
描述 与容器关联的元数据键/值对。
想要检查容器的特定元数据时使用。 目前为预览版
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/metadata
特性源 资源
属性类型 字符串
示例 @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
示例:读取包含特定元数据的容器中的 Blob
示例:在包含特定元数据的容器中写入或删除 Blob

加密范围名称

属性
显示名称 加密范围名称
说明 用于加密数据的加密范围的名称。
Attribute Microsoft.Storage/storageAccounts/encryptionScopes:name
特性源 资源
属性类型 字符串
存在支持 True
示例 @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
示例:读取具有特定加密范围的 blob
了解详细信息 创建和管理加密范围

是当前版本

属性
显示名称 是当前版本
说明 资源是否为当前版本的 blob,与快照或特定 blob 版本对比。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion
特性源 资源
属性类型 布尔值
示例 @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
示例:仅读取当前 blob 版本
示例:读取当前 blob 版本和特定 blob 版本

层次结构命名空间是否已启用

属性
显示名称 层次结构命名空间是否已启用
说明 存储帐户上是否已启用分层命名空间。
仅适用于资源组范围或更大范围。
Attribute Microsoft.Storage/storageAccounts:isHnsEnabled
特性源 资源
属性类型 布尔值
示例 @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
示例:仅读取已启用分层命名空间的存储帐户
了解详细信息 Azure Data Lake Storage 分层命名空间
属性
显示名称 是专用链接
说明 访问是否通过专用链接进行。
用于要求通过任何专用链接进行访问。
Attribute isPrivateLink
特性源 环境
属性类型 布尔值
适用于 对于使用以下 REST 操作的复制操作,此属性仅适用于目标存储帐户,不适用于源:

复制 Blob
从 URL 复制 Blob
从 URL 放置 Blob
从 URL 放置块
从 URL 追加块
从 URL 放置页

对于所有其他读取、写入、创建、删除和重命名操作,它适用于作为操作目标的存储帐户
示例 @Environment[isPrivateLink] BoolEquals true
示例:需要专用链接访问权限才能读取具有高敏感度的 Blob
了解详细信息 为 Azure 存储使用专用终结点

列出 Blob 包含

属性
显示名称 列出 Blob 包含
描述 可以随列出 Blob 操作一起包含的信息,例如元数据、快照或版本。
想要在调用列出 Blob 操作时允许或限制 include 参数值的情况下使用。
目前采用预览版。 仅适用于未启用分层命名空间的存储帐户。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include
特性源 请求
属性类型 字符串
示例 @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
示例:允许列出 Blob 操作包含 Blob 元数据、快照或版本
示例:将列出 Blob 操作限制为不能包含 Blob 元数据

专用终结点

属性
显示名称 专用终结点
说明 用于访问对象的专用终结点。
用于限制通过特定专用终结点的访问。
仅适用于订阅中至少配置了一个专用终结点的存储帐户。
Attribute Microsoft.Network/privateEndpoints
特性源 环境
属性类型 字符串
适用于 对于使用以下 REST 操作的复制操作,此属性仅适用于目标存储帐户,不适用于源:

复制 Blob
从 URL 复制 Blob
从 URL 放置 Blob
从 URL 放置块
从 URL 追加块
从 URL 放置页

对于所有其他读取、写入、创建、删除和重命名操作,它适用于作为操作目标的存储帐户
示例 @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
示例:仅允许从特定专用终结点对容器进行读取访问
了解详细信息 为 Azure 存储使用专用终结点

快照

属性
显示名称 快照
说明 Blob 快照的快照标识符。
仅适用于未启用分层命名空间的存储帐户,当前为已启用分层命名空间的存储帐户提供预览版。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot
特性源 请求
属性类型 DateTime
存在支持 True
分层命名空间支持 False
示例 Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
示例:读取当前 blob 版本和任何 blob 快照
了解详细信息 blob 快照
Azure Data Lake Storage 分层命名空间

子网

属性
显示名称 子网
说明 用于访问对象的子网。
用于限制对特定子网的访问。
仅适用于订阅中至少配置了一个使用服务终结点的虚拟网络子网的存储帐户。
Attribute Microsoft.Network/virtualNetworks/subnets
特性源 环境
属性类型 字符串
适用于 对于使用以下 REST 操作的复制操作,此属性仅适用于目标存储帐户,不适用于源:

复制 Blob
从 URL 复制 Blob
从 URL 放置 Blob
从 URL 放置块
从 URL 追加块
从 URL 放置页

对于所有其他读取、写入、创建、删除和重命名操作,它适用于作为操作目标的存储帐户
示例 @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
示例:允许从特定子网访问特定容器中的 Blob
了解详细信息 子网

现在 (UTC)

属性
显示名称 现在 (UTC)
说明 协调世界时的当前日期和时间。
用于控制特定日期和时间段内对对象的访问。
Attribute UtcNow
特性源 环境
属性类型 DateTime
(UTC now 属性仅支持运算符 DateTimeGreaterThan 和 DateTimeLessThan。
示例 @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'
示例:允许在特定日期和时间之后对 blob 进行读取访问

版本 ID

属性
显示名称 版本 ID
说明 带有版本的 Blob 的版本 ID。
仅适用于未启用分层命名空间的存储帐户。
Attribute Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId
特性源 请求
属性类型 DateTime
存在支持 True
分层命名空间支持 False
示例 @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
示例:读取当前 blob 版本和特定 blob 版本
示例:读取当前 blob 版本和任何 blob 快照
了解详细信息 Azure Data Lake Storage 分层命名空间

另请参阅