本文介绍了支持的属性字典,可在每个 Azure 存储 DataAction 的 Azure 角色分配条件中使用。 有关特定权限或 DataAction 影响的队列服务操作列表,请参阅队列服务操作的权限。
若要了解角色分配条件格式,请参阅 Azure 角色分配条件格式和语法
Important
Azure 基于属性的访问控制 (Azure ABAC) 已正式发布 (GA),用于使用标准和高级存储帐户性能层中的 request、resource、environment 和 principal 属性控制对 Azure Blob 存储、Azure Data Lake Storage Gen2 和 Azure 队列的访问。 目前,分层命名空间的“列出 Blob 操作的所含内容”请求属性和“快照”请求属性处于预览状态。 有关 Azure 存储 ABAC 的完整功能状态信息,请参阅 Azure 存储中条件功能的状态。
有关适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的法律条款,请参阅 Azure 预览版补充使用条款 。
Azure 队列存储操作
本部分列出了可在条件中指定为目标的受支持 Azure 队列存储操作。
存储帐户支持以下操作:
| Display name | DataAction |
|---|---|
| Peek messages | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| 放置消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| 放置或更新消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Clear messages | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| 获取或删除消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
Peek messages
| Property | Value |
|---|---|
| Display name | Peek messages |
| Description | 用于速览消息的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Resource attributes |
Account name Queue name |
| Request attributes | |
| 主体属性支持 | True |
放置消息
| Property | Value |
|---|---|
| Display name | 放置消息 |
| Description | 用于放置消息的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| Resource attributes |
Account name Queue name |
| Request attributes | |
| 主体属性支持 | True |
放置或更新消息
| Property | Value |
|---|---|
| Display name | 放置或更新消息 |
| Description | 用于放置或更新消息的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Resource attributes |
Account name Queue name |
| Request attributes | |
| 主体属性支持 | True |
Clear messages
| Property | Value |
|---|---|
| Display name | Clear messages |
| Description | 用于清除消息的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Resource attributes |
Account name Queue name |
| Request attributes | |
| 主体属性支持 | True |
获取或删除消息
| Property | Value |
|---|---|
| Display name | 获取或删除消息 |
| Description | 用于获取或删除消息的 DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
| Resource attributes |
Account name Queue name |
| Request attributes | |
| 主体属性支持 | True |
Azure 队列存储属性
本部分列出了可在条件表达式中根据目标操作使用的 Azure 队列存储属性。 如果为单个条件选择多个操作,则可为条件选择的特性可能较少,因为这些特性必须在所有选定的操作中可用。
Note
除非另有说明,否则列出的属性和值视为不区分大小写。
下表按源汇总了可用属性:
| Attribute Source | Display name | Description |
|---|---|---|
| Environment | ||
| 是专用链接 | 访问是否通过专用链接进行 | |
| Private endpoint | 用于访问对象的专用终结点 | |
| Subnet | 用于访问对象的子网 | |
| UTC now | 协调世界时的当前日期和时间 | |
| Resource | ||
| Account name | 存储帐户名称 | |
| Queue name | 存储队列名称 |
Account name
| Property | Value |
|---|---|
| Display name | Account name |
| Description | 存储帐户的名称。 |
| Attribute | Microsoft.Storage/storageAccounts:name |
| Attribute source | Resource |
| Attribute type | String |
| Examples | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount' |
是专用链接
| Property | Value |
|---|---|
| Display name | 是专用链接 |
| Description | 访问是否通过专用链接进行。 用于要求通过任何专用终结点进行访问。 |
| Attribute | isPrivateLink |
| Attribute source | Environment |
| Attribute type | Boolean |
| Examples | @Environment[isPrivateLink] BoolEquals true示例:需要专用链接访问权限才能读取具有高敏感度的 Blob |
| Learn more | 为 Azure 存储使用专用终结点 |
Private endpoint
| Property | Value |
|---|---|
| Display name | Private endpoint |
| Description | 用于访问对象的专用终结点。 用于限制通过特定专用终结点的访问。 仅适用于订阅中至少配置了一个专用终结点的存储帐户。 |
| Attribute | Microsoft.Network/privateEndpoints |
| Attribute source | Environment |
| Attribute type | String |
| Examples | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'示例:仅允许从特定专用终结点对容器进行读取访问 |
| Learn more | 为 Azure 存储使用专用终结点 |
Queue name
| Property | Value |
|---|---|
| Display name | Queue name |
| Description | 存储队列的名称。 |
| Attribute | Microsoft.Storage/storageAccounts/queueServices/queues:name |
| Attribute source | Resource |
| Attribute type | String |
Subnet
| Property | Value |
|---|---|
| Display name | Subnet |
| Description | 用于访问对象的子网。 用于限制对特定子网的访问。 仅适用于订阅中至少配置了一个虚拟网络子网的存储帐户。 |
| Attribute | Microsoft.Network/virtualNetworks/subnets |
| Attribute source | Environment |
| Attribute type | String |
| Examples | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'示例:允许从特定子网访问特定容器中的 Blob |
| Learn more | Subnets |
UTC now
| Property | Value |
|---|---|
| Display name | UTC now |
| Description | 协调世界时的当前日期和时间。 用于控制特定日期和时间段内对对象的访问。 |
| Attribute | UtcNow |
| Attribute source | Environment |
| Attribute type |
DateTime (UTC now 属性仅支持运算符 DateTimeGreaterThan 和 DateTimeLessThan。) |
| Examples | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'示例:允许在特定日期和时间之后对 Blob 进行读取访问 |