队列存储的 Azure 角色分配条件示例

本文列出了用于控制 Azure 队列存储资源访问权限的角色分配条件的一些示例。

重要

Azure 基于属性的访问控制 (Azure ABAC) 已正式发布 (GA),用于使用标准和高级存储帐户性能层中的 requestresourceenvironmentprincipal 属性控制对 Azure Blob 存储、Azure Data Lake Storage Gen2 和 Azure 队列的访问。 目前,“容器元数据”资源属性和“列出 Blob 操作的所含内容”请求属性处于预览状态。 有关 Azure 存储 ABAC 的完整功能状态信息,请参阅 Azure 存储中条件功能的状态

有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款

先决条件

有关添加或编辑角色分配条件的先决条件的信息,请参阅有关条件的先决条件

本文中的示例摘要

使用下表快速找到适合 ABAC 方案的示例。 该表包含方案的简要说明,并按(环境、主体、请求和资源)列出了示例中使用的属性。

示例 环境 主体 请求 资源
速览或清除命名队列中的消息 队列名称
允许在特定日期和时间之后速览邮件 UtcNow 队列名称
允许从特定子网访问特定队列中的消息 子网 队列名称
主体属性示例 身份证件

队列名称

本部分包含演示如何基于队列名称限制消息访问的示例。

示例:速览或清除命名队列中的消息

此条件允许用户速览或清除名为 sample-queue 的队列中的消息。 该条件适用于与订阅中的其他用户共享特定队列数据。

重要

为了使此条件对安全主体有效,必须将它添加到包含以下操作的所有角色分配:Microsoft.Storage/storageAccounts/queueServices/queues/messages/readMicrosoft.Storage/storageAccounts/queueServices/queues/messages/delete

Diagram of condition showing peek and clear access to named queue.显示对命名队列的速览和清除访问的条件示意图。

可以使用 Azure 门户或 Azure PowerShell 将条件添加到角色分配。 该门户有两个用于生成 ABAC 条件的工具 - 可视化编辑器和代码编辑器。 在 Azure 门户中,可以在这两个编辑器之间切换,以在不同的视图中查看条件。 在本文中的“可视化编辑器”选项卡和“代码编辑器”选项卡之间切换,以查看首选门户编辑器的示例

添加操作

选择“添加操作”,然后选择“速览消息”和“清除消息”:

Screenshot of condition editor in Azure portal showing selection of peek and clear operations.Azure 门户中显示选择速览和清除操作的条件编辑器的屏幕截图。

生成表达式

使用下表中的值生成条件的表达式部分:

设置
特性源 资源
特征 队列名称
运算符 StringEquals
{queueName}

下图显示了将设置输入到 Azure 门户后的情况。 必须对表达式进行分组以确保计算正确。

Screenshot of condition editor in Azure portal showing peek or clear access to messages in a named queue.Azure 门户中条件编辑器的屏幕截图,其中显示了对命名队列中的消息的速览或清除访问。

环境属性

本部分包含一些示例,它们演示了如何根据网络环境或当前日期和时间来限制对队列消息的访问。

示例:允许在特定日期和时间之后速览邮件

此条件仅允许在协调世界时 (UTC) 2023 年 5 月 1 日下午 1:00 之后对队列 sample-queue 进行速览访问。

重要

为了使此条件对具有多个角色分配的主体有效,必须将该条件添加到包含以下操作的所有角色分配:Microsoft.Storage/storageAccounts/queueServices/queues/messages/read

可以使用 Azure 门户或 Azure PowerShell 将条件添加到角色分配。 该门户有两个用于生成 ABAC 条件的工具 - 可视化编辑器和代码编辑器。 在 Azure 门户中,可以在这两个编辑器之间切换,以在不同的视图中查看条件。 在下面的“可视化编辑器”选项卡和“代码编辑器”选项卡之间切换,以查看首选门户编辑器的示例。

添加操作

选择“添加操作”,然后选择“速览消息”:

Screenshot of condition editor in Azure portal showing selection of just the peek operation.Azure 门户中显示选择仅速览操作的条件编辑器的屏幕截图。

生成表达式

使用下表中的值生成条件的表达式部分:

设置
特性源 资源
特征 队列名称
运算符 StringEquals
{queue-name}
逻辑运算符 'AND'
特性源 环境
特征 UtcNow
运算符 DateTimeGreaterThan
2023-05-01T13:00:00.000Z

下图显示了将设置输入到 Azure 门户后的情况。 必须对表达式进行分组以确保计算正确。

Screenshot of the condition editor in the Azure portal showing peek access allowed after a specific date and time.Azure 门户中条件编辑器的屏幕截图,其中显示了特定日期和时间后允许的速览访问。

示例:允许从特定子网访问特定队列中的消息

此条件仅允许从虚拟网络 sample-vnet 上的子网 default 放置和更新 sample-queue 中的消息。

重要

为了使此条件对具有多个角色分配的主体有效,必须将该条件添加到包含以下任何操作的所有角色分配:Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

可以使用 Azure 门户或 Azure PowerShell 将条件添加到角色分配。 该门户有两个用于生成 ABAC 条件的工具 - 可视化编辑器和代码编辑器。 在 Azure 门户中,可以在这两个编辑器之间切换,以在不同的视图中查看条件。 在下面的“可视化编辑器”选项卡和“代码编辑器”选项卡之间切换,以查看首选门户编辑器的示例。

选择“添加操作”,然后选择“放置或更新消息”:

Screenshot of condition editor in Azure portal showing selection of the put or update operation.Azure 门户中显示选择放置或更新操作的条件编辑器的屏幕截图。

生成表达式

使用下表中的值生成条件的表达式部分:

设置
特性源 资源
特征 队列名称
运算符 StringEquals
container1
逻辑运算符 'AND'
特性源 环境
特征 子网
运算符 StringEqualsIgnoreCase
/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Network/virtualNetworks/sample-vnet/subnets/default

下图显示了将设置输入到 Azure 门户后的情况。 必须对表达式进行分组以确保计算正确。

Screenshot of the condition editor in the Azure portal showing read access to specific queues allowed from a specific subnet.Azure 门户中条件编辑器的屏幕截图,其中显示了允许从特定子网对特定队列进行读取访问。

主体属性

若需查看有关如何使用主体属性允许 Blob 数据访问的完整示例,请参阅允许基于标记和自定义安全属性读取 Blob

后续步骤