Azure Blob 存储的 Azure 角色分配条件的操作和属性
本文介绍了支持的属性字典,可在每个 Azure 存储 DataAction 的 Azure 角色分配条件中使用。 有关特定权限或 DataAction 影响的 Blob 服务操作列表,请参阅 Blob 服务操作的权限。
若要了解角色分配条件格式,请参阅 Azure 角色分配条件格式和语法
重要
Azure 基于属性的访问控制 (Azure ABAC) 已正式发布 (GA),用于使用标准和高级存储帐户性能层中的 request、resource、environment 和 principal 属性控制对 Azure Blob 存储、Azure Data Lake Storage Gen2 和 Azure 队列的访问。 目前,“容器元数据”资源属性和“列出 Blob 操作的所含内容”请求属性处于预览状态。 有关 Azure 存储 ABAC 的完整功能状态信息,请参阅 Azure 存储中条件功能的状态。
有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款。
子操作
多个存储服务操作可以与单个权限或 DataAction 相关联。 但是,与同一权限相关联的每个操作都可能支持不同的参数。 “子操作”能够区分需要相同权限但支持不同条件属性集的服务操作。 因此,通过使用子操作,可以指定一个条件来访问支持给定参数的操作的子集。 然后,可以对不支持该参数的相同操作使用另一个操作访问条件。
例如,对于数十个不同的服务操作,Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 操作是必需的。 其中一些操作可以接受 blob 索引标记作为请求参数,而其他操作则不能。 对于接受 blob 索引标记作为参数的操作,可以在请求条件中使用 blob 索引标记。 但是,如果在 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 操作上定义了此类条件,则不接受标记作为请求参数的所有操作都无法评估此条件,并且无法通过授权访问检查。
在这种情况下,可以使用可选子操作 Blob.Write.WithTagHeaders 来将条件仅应用于支持 blob 索引标记作为请求参数的操作。
注意
Blob 还能够存储任意用户定义的键值元数据。 尽管元数据与 blob 索引标记类似,但必须使用带条件的 blob 索引标记。 有关详细信息,请查看使用 Blob 索引标记管理和查找 Azure Blob 数据。
Azure Blob 存储操作和子操作
本部分列出了可在条件中指定为目标的受支持 Azure Blob 存储操作和子操作。 下表汇总了它们:
| 显示名称 | DataAction | 子操作 |
|---|---|---|
| 读取操作 | ||
| 按标记查找 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
不适用 |
| 列出 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Blob.List |
| 读取 blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
NOT Blob.List |
| 读取 blob 索引标记 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
不适用 |
| 读取具有标记条件的 Blob 中的内容 (已启用) |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
Blob.Read.WithTagConditions |
| 写入操作 | ||
| 创建 blob 或快照,或追加数据 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
不适用 |
| 删除 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
不适用 |
| 删除 blob 的版本 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action |
不适用 |
| 永久删除 blob 替代软删除 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action |
不适用 |
| 重命名文件或目录 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action |
不适用 |
| 在 Blob 上设置访问层 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Blob.Write.Tier |
| 写入 blob 索引标记 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
不适用 |
| 编写 Blob 法定保留和不可变性策略 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
不适用 |
| 写入到 blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
不适用 |
| 写入到具有 blob 索引标记的 blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
Blob.Write.WithTagHeaders |
| 权限操作 | ||
| 更改 Blob 的所有权 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action |
不适用 |
| 修改 blob 的权限 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action |
不适用 |
| HNS 操作 | ||
| 帐户的所有数据操作均已启用分层命名空间 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
不适用 |
列出 Blob
| 属性 | 值 |
|---|---|
| 显示名称 | 列出 Blob |
| 说明 | 列出 Blob 操作。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| “子操作” | Blob.List |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 |
| 请求属性 | Blob 前缀 |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})示例:使用路径读取或列出命名容器中的 blob |
读取 blob
| 属性 | 值 |
|---|---|
| 显示名称 | 读取 blob |
| 说明 | 除列出之外的所有 Blob 读取操作。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| “子操作” | 不是 Blob.List |
| 资源属性 | 帐户名称 是否为当前版本 层次结构命名空间是否已启用 容器名称 Blob 路径 加密范围名称 |
| 请求属性 | 版本 ID 快照 |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})示例:使用路径读取命名容器中的 blob |
从具有标记条件的 blob 中读取内容
重要
Read content from a blob with tag conditions 子操作已弃用。 尽管目前支持它与 ABAC 功能预览期间实现的条件兼容,但 Azure 建议改用读取 blob 操作。
在 Azure 门户中配置 ABAC 条件时,可能会出现“已弃用: 从具有标记条件的 Blob 中读取内容”。 Azure 建议删除该操作并将其替换为 Read a blob 操作。
如果要创作自己的条件,希望通过标记条件来限制读取访问,请参阅示例:使用 blob 索引标记读取 Blob。
读取 blob 索引标记
| 属性 | 值 |
|---|---|
| 显示名称 | 读取 blob 索引标记 |
| 说明 | 用于读取 blob 索引标记的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
| “子操作” | n/a |
| 资源属性 | 帐户名称 是否为当前版本 层次结构命名空间是否已启用 容器名称 Blob 路径 blob 索引标记 [键中的值] blob 索引标记 [键] |
| 请求属性 | 版本 ID 快照 |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 了解详细信息 | 通过 Blob 索引标记管理和查找 Azure Blob 数据 |
按标记查找 Blob
| 属性 | 值 |
|---|---|
| 显示名称 | 按标记查找 Blob |
| 说明 | 用于按索引标记查找 Blob 的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
写入到 blob
| 属性 | 值 |
|---|---|
| 显示名称 | 写入到 blob |
| 说明 | 用于写入到 blob 的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 加密范围名称 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})示例:读取、写入或删除命名容器中的 blob |
在 Blob 上设置访问层
| 属性 | 值 |
|---|---|
| 显示名称 | 在 Blob 上设置访问层 |
| 说明 | 用于写入到 blob 的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| “子操作” | Blob.Write.Tier |
| 资源属性 | 帐户名称 是否为当前版本 层次结构命名空间是否已启用 容器名称 Blob 路径 加密范围名称 |
| 请求属性 | 版本 ID 快照 |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.Tier'}) |
写入到具有 blob 索引标记的 blob
| 属性 | 值 |
|---|---|
| 显示名称 | 写入到具有 blob 索引标记的 blob |
| 说明 | REST 操作:放置 Blob、放置块列表、复制 Blob 和从 URL 复制 Blob。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| “子操作” | Blob.Write.WithTagHeaders |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 加密范围名称 |
| 请求属性 | blob 索引标记 [键中的值] blob 索引标记 [键] |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})示例:新 blob 必须包含 blob 索引标记 |
| 了解详细信息 | 通过 Blob 索引标记管理和查找 Azure Blob 数据 |
创建 blob 或快照,或追加数据
| 属性 | 值 |
|---|---|
| 显示名称 | 创建 blob 或快照,或追加数据 |
| 说明 | 用于创建 blob 的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 加密范围名称 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})示例:读取、写入或删除命名容器中的 blob |
写入 blob 索引标记
| 属性 | 值 |
|---|---|
| 显示名称 | 写入 blob 索引标记 |
| 说明 | 用于写入 blob 索引标记的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| “子操作” | n/a |
| 资源属性 | 帐户名称 是否为当前版本 层次结构命名空间是否已启用 容器名称 Blob 路径 blob 索引标记 [键中的值] blob 索引标记 [键] |
| 请求属性 | blob 索引标记 [键中的值] blob 索引标记 [键] 版本 ID 快照 |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})示例:现有 blob 必须具有 blob 索引标记键 |
| 了解详细信息 | 通过 Blob 索引标记管理和查找 Azure Blob 数据 |
编写 Blob 法定保留和不可变性策略
| 属性 | 值 |
|---|---|
| 显示名称 | 编写 Blob 法定保留和不可变性策略 |
| 说明 | 用于编写 Blob 法定保留和不可变策略的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
删除 Blob
| 属性 | 值 |
|---|---|
| 显示名称 | 删除 Blob |
| 说明 | 用于删除 blob 的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| “子操作” | n/a |
| 资源属性 | 帐户名称 是否为当前版本 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | 版本 ID 快照 |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})示例:读取、写入或删除命名容器中的 blob |
删除 blob 的版本
| 属性 | 值 |
|---|---|
| 显示名称 | 删除 blob 的版本 |
| 说明 | 用于删除 blob 的版本的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | 版本 ID |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})示例:删除旧 blob 版本 |
永久删除 blob 替代软删除
| 属性 | 值 |
|---|---|
| 显示名称 | 永久删除 blob 替代软删除 |
| 说明 | 用于永久删除 blob 替代软删除的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/permanentDelete/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 是否为当前版本 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | 版本 ID 快照 |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
修改 blob 的权限
| 属性 | 值 |
|---|---|
| 显示名称 | 修改 blob 的权限 |
| 说明 | 用于修改 blob 的权限的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/modifyPermissions/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
更改 Blob 的所有权
| 属性 | 值 |
|---|---|
| 显示名称 | 更改 Blob 的所有权 |
| 说明 | 用于更改 blob 的所有权的DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/manageOwnership/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
重命名文件或目录
| 属性 | 值 |
|---|---|
| 显示名称 | 重命名文件或目录 |
| 说明 | 用于重命名文件或目录的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
帐户的所有数据操作均已启用分层命名空间
| 属性 | 值 |
|---|---|
| 显示名称 | 帐户的所有数据操作均已启用分层命名空间 |
| 说明 | 存储帐户上所有数据操作的 DataAction 均已启用分层命名空间。 如果角色定义包含 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action 操作,则应在条件中将此操作指定为目标。 如果为存储帐户启用了分层命名空间,则将此操作指定为目标可确保条件仍按预期方式工作。 |
| DataAction | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
| “子操作” | n/a |
| 资源属性 | 帐户名称 是否为当前版本 层次结构命名空间是否已启用 容器名称 Blob 路径 |
| 请求属性 | |
| 主体属性支持 | True |
| 环境属性 | 是专用链接 专用终结点 子网 现在 (UTC) |
| 示例 | 示例:读取、写入或删除命名容器中的 blob 示例:使用路径读取命名容器中的 blob 示例:使用路径读取或列出命名容器中的 blob 示例:使用路径在命名容器中写入 blob 示例:仅读取当前 blob 版本 示例:读取当前 blob 版本和任何 blob 快照 示例:仅读取已启用分层命名空间的存储帐户 |
| 了解详细信息 | Azure Data Lake Storage 分层命名空间 |
Azure Blob 存储属性
本部分列出了可在条件表达式中根据目标操作使用的 Azure Blob 存储属性。 如果为单个条件选择多个操作,则可为条件选择的特性可能较少,因为这些特性必须在所选操作中可用。
注意
除非另有说明,否则列出的属性和值视为不区分大小写。
下表按源汇总了可用属性:
| 属性源 | Display name | 说明 |
|---|---|---|
| 环境 | ||
| 是专用链接 | 访问是否通过专用链接进行 | |
| 专用终结点 | 用于访问对象的专用终结点 | |
| 子网 | 用于访问对象的子网 | |
| 现在 (UTC) | 当前日期和时间(协调世界时) | |
| 请求 | ||
| blob 索引标记 [键] | blob 资源(键)的索引标记;仅适用于未启用分层命名空间的存储帐户 | |
| blob 索引标记 [键中的值] | blob 资源(键中的值)的索引标记;仅适用于未启用分层命名空间的存储帐户 | |
| Blob 前缀 | 允许列出的 blob 的前缀 | |
| 列出 Blob 包含 | 可以随列出操作一起包含的信息,例如元数据、快照或版本 | |
| 快照 | blob 快照的快照标识符 | |
| 版本 ID | 进行版本控制 blob 的版本 ID;仅适用于未启用分层命名空间的存储帐户 | |
| 资源 | ||
| 帐户名称 | 存储帐户名称 | |
| blob 索引标记 [键] | blob 资源上的索引标记(键) | |
| blob 索引标记 [键中的值] | blob 资源上的索引标记(键中的值) | |
| Blob 路径 | 虚拟目录、blob、文件夹或文件资源的路径 | |
| 容器名称 | 存储容器或文件系统的名称 | |
| 容器元数据 | 与容器关联的元数据键/值对 | |
| 加密范围名称 | 用于加密数据的加密范围的名称 | |
| 是当前版本 | 资源是否为 blob 的当前版本 | |
| 层次结构命名空间是否已启用 | 存储帐户上是否已启用分层命名空间 |
帐户名
| 属性 | 值 |
|---|---|
| 显示名称 | 帐户名 |
| 说明 | 存储帐户的名称。 |
| Attribute | Microsoft.Storage/storageAccounts:name |
| 特性源 | 资源 |
| 属性类型 | 字符串 |
| 示例 | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'示例:在具有特定加密范围的命名存储帐户中读取或写入 blob |
blob 索引标记 [键]
| 属性 | 值 |
|---|---|
| 显示名称 | blob 索引标记 [键] |
| 说明 | blob 资源上的索引标记。 可以与 blob 资源一起存储的任意用户定义的键值属性。 想要检查 blob 索引标记中的键时使用。 仅适用于未启用分层命名空间的存储帐户。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$& |
| 特性源 | 资源 请求 |
| 属性类型 | StringList |
| 键是否区分大小写 | 正确 |
| 分层命名空间支持 | False |
| 示例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}示例:现有 blob 必须具有 blob 索引标记键 |
| 了解详细信息 | 通过 Blob 索引标记管理和查找 Azure Blob 数据 Azure Data Lake Storage 分层命名空间 |
blob 索引标记 [键中的值]
| 属性 | 值 |
|---|---|
| 显示名称 | blob 索引标记 [键中的值] |
| 说明 | blob 资源上的索引标记。 可以与 blob 资源一起存储的任意用户定义的键值属性。 想要检查 blob 索引标记中的键(区分大小写)和值时使用。 仅适用于未启用分层命名空间的存储帐户。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags |
| 特性源 | 资源 请求 |
| 属性类型 | 字符串 |
| 键是否区分大小写 | 正确 |
| 分层命名空间支持 | False |
| 示例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:keyname<$key_case_sensitive$>@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'示例:使用 blob 索引标记读取 blob |
| 了解详细信息 | 通过 Blob 索引标记管理和查找 Azure Blob 数据 Azure Data Lake Storage 分层命名空间 |
Blob 路径
| 属性 | 值 |
|---|---|
| 显示名称 | Blob 路径 |
| 说明 | 虚拟目录、blob、文件夹或文件资源的路径。 想要检查 blob 路径中的 blob 名称或文件夹时使用。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path |
| 特性源 | 资源 |
| 属性类型 | 字符串 |
| 示例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'示例:使用路径读取命名容器中的 blob |
注意
为 Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path 属性指定条件时,值不应包含容器名称或前导斜杠 (/) 字符。 使用不带任何 URL 编码的路径字符。
Blob 前缀
| 属性 | 值 |
|---|---|
| 显示名称 | Blob 前缀 |
| 说明 | 允许列出的 Blob 的前缀。 虚拟目录或文件夹资源的路径。 想要检查 Blob 路径中的文件夹时使用。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix |
| 特性源 | 请求 |
| 属性类型 | 字符串 |
| 示例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'示例:使用路径读取或列出命名容器中的 blob |
注意
为 Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix 属性指定条件时,值不应包含容器名称或前导斜杠 (/) 字符。 使用不带任何 URL 编码的路径字符。
容器名称
| 属性 | 值 |
|---|---|
| 显示名称 | 容器名称 |
| 说明 | 存储容器或文件系统的名称。 想要检查容器名称时使用。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers:name |
| 特性源 | 资源 |
| 属性类型 | 字符串 |
| 示例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'示例:读取、写入或删除命名容器中的 blob |
容器元数据
| 属性 | 值 |
|---|---|
| 显示名称 | 容器元数据 |
| 描述 | 与容器关联的元数据键/值对。 想要检查容器的特定元数据时使用。 目前为预览版。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/metadata |
| 特性源 | 资源 |
| 属性类型 | 字符串 |
| 示例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'示例:读取包含特定元数据的容器中的 Blob 示例:在包含特定元数据的容器中写入或删除 Blob |
加密范围名称
| 属性 | 值 |
|---|---|
| 显示名称 | 加密范围名称 |
| 说明 | 用于加密数据的加密范围的名称。 |
| Attribute | Microsoft.Storage/storageAccounts/encryptionScopes:name |
| 特性源 | 资源 |
| 属性类型 | 字符串 |
| 存在支持 | True |
| 示例 | @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}示例:读取具有特定加密范围的 blob |
| 了解详细信息 | 创建和管理加密范围 |
是当前版本
| 属性 | 值 |
|---|---|
| 显示名称 | 是当前版本 |
| 说明 | 资源是否为当前版本的 blob,与快照或特定 blob 版本对比。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion |
| 特性源 | 资源 |
| 属性类型 | 布尔值 |
| 示例 | @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true示例:仅读取当前 blob 版本 示例:读取当前 blob 版本和特定 blob 版本 |
层次结构命名空间是否已启用
| 属性 | 值 |
|---|---|
| 显示名称 | 层次结构命名空间是否已启用 |
| 说明 | 存储帐户上是否已启用分层命名空间。 仅适用于资源组范围或更大范围。 |
| Attribute | Microsoft.Storage/storageAccounts:isHnsEnabled |
| 特性源 | 资源 |
| 属性类型 | 布尔值 |
| 示例 | @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true示例:仅读取已启用分层命名空间的存储帐户 |
| 了解详细信息 | Azure Data Lake Storage 分层命名空间 |
是专用链接
| 属性 | 值 |
|---|---|
| 显示名称 | 是专用链接 |
| 说明 | 访问是否通过专用链接进行。 用于要求通过任何专用链接进行访问。 |
| Attribute | isPrivateLink |
| 特性源 | 环境 |
| 属性类型 | 布尔值 |
| 适用于 | 对于使用以下 REST 操作的复制操作,此属性仅适用于目标存储帐户,不适用于源: 复制 Blob 从 URL 复制 Blob 从 URL 放置 Blob 从 URL 放置块 从 URL 追加块 从 URL 放置页 对于所有其他读取、写入、创建、删除和重命名操作,它适用于作为操作目标的存储帐户 |
| 示例 | @Environment[isPrivateLink] BoolEquals true示例:需要专用链接访问权限才能读取具有高敏感度的 Blob |
| 了解详细信息 | 为 Azure 存储使用专用终结点 |
列出 Blob 包含
| 属性 | 值 |
|---|---|
| 显示名称 | 列出 Blob 包含 |
| 描述 | 可以随列出 Blob 操作一起包含的信息,例如元数据、快照或版本。 想要在调用列出 Blob 操作时允许或限制 include 参数值的情况下使用。目前采用预览版。 仅适用于未启用分层命名空间的存储帐户。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include |
| 特性源 | 请求 |
| 属性类型 | 字符串 |
| 示例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}示例:允许列出 Blob 操作包含 Blob 元数据、快照或版本 示例:将列出 Blob 操作限制为不能包含 Blob 元数据 |
专用终结点
| 属性 | 值 |
|---|---|
| 显示名称 | 专用终结点 |
| 说明 | 用于访问对象的专用终结点。 用于限制通过特定专用终结点的访问。 仅适用于订阅中至少配置了一个专用终结点的存储帐户。 |
| Attribute | Microsoft.Network/privateEndpoints |
| 特性源 | 环境 |
| 属性类型 | 字符串 |
| 适用于 | 对于使用以下 REST 操作的复制操作,此属性仅适用于目标存储帐户,不适用于源: 复制 Blob 从 URL 复制 Blob 从 URL 放置 Blob 从 URL 放置块 从 URL 追加块 从 URL 放置页 对于所有其他读取、写入、创建、删除和重命名操作,它适用于作为操作目标的存储帐户 |
| 示例 | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'示例:仅允许从特定专用终结点对容器进行读取访问 |
| 了解详细信息 | 为 Azure 存储使用专用终结点 |
快照
| 属性 | 值 |
|---|---|
| 显示名称 | 快照 |
| 说明 | Blob 快照的快照标识符。 仅适用于未启用分层命名空间的存储帐户,当前为已启用分层命名空间的存储帐户提供预览版。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot |
| 特性源 | 请求 |
| 属性类型 | DateTime |
| 存在支持 | True |
| 分层命名空间支持 | False |
| 示例 | Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]示例:读取当前 blob 版本和任何 blob 快照 |
| 了解详细信息 | blob 快照 Azure Data Lake Storage 分层命名空间 |
子网
| 属性 | 值 |
|---|---|
| 显示名称 | 子网 |
| 说明 | 用于访问对象的子网。 用于限制对特定子网的访问。 仅适用于订阅中至少配置了一个使用服务终结点的虚拟网络子网的存储帐户。 |
| Attribute | Microsoft.Network/virtualNetworks/subnets |
| 特性源 | 环境 |
| 属性类型 | 字符串 |
| 适用于 | 对于使用以下 REST 操作的复制操作,此属性仅适用于目标存储帐户,不适用于源: 复制 Blob 从 URL 复制 Blob 从 URL 放置 Blob 从 URL 放置块 从 URL 追加块 从 URL 放置页 对于所有其他读取、写入、创建、删除和重命名操作,它适用于作为操作目标的存储帐户 |
| 示例 | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'示例:允许从特定子网访问特定容器中的 Blob |
| 了解详细信息 | 子网 |
现在 (UTC)
| 属性 | 值 |
|---|---|
| 显示名称 | 现在 (UTC) |
| 说明 | 协调世界时的当前日期和时间。 用于控制特定日期和时间段内对对象的访问。 |
| Attribute | UtcNow |
| 特性源 | 环境 |
| 属性类型 | DateTime (UTC now 属性仅支持运算符 DateTimeGreaterThan 和 DateTimeLessThan。) |
| 示例 | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'示例:允许在特定日期和时间之后对 blob 进行读取访问 |
版本 ID
| 属性 | 值 |
|---|---|
| 显示名称 | 版本 ID |
| 说明 | 带有版本的 Blob 的版本 ID。 仅适用于未启用分层命名空间的存储帐户。 |
| Attribute | Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId |
| 特性源 | 请求 |
| 属性类型 | DateTime |
| 存在支持 | True |
| 分层命名空间支持 | False |
| 示例 | @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'示例:读取当前 blob 版本和特定 blob 版本 示例:读取当前 blob 版本和任何 blob 快照 |
| 了解详细信息 | Azure Data Lake Storage 分层命名空间 |