Blob Storage の Azure ロールの割り当て条件の例

2025-05-07

この記事では、Azure Blob Storage へのアクセスを制御するためのロールの割り当て条件の例をいくつか示します。

重要

Azure 属性ベースのアクセス制御 (Azure ABAC) は、ストレージアカウントの Standard と Premium 両方のパフォーマンスレベルで、request、resource、environment、principal を使用して Azure Blob Storage、Azure Data Lake Storage Gen2、Azure キューへのアクセスを制御するために一般提供 (GA) されています。現在、コンテナーメタデータリソース属性とリスト BLOB インクルード要求属性はプレビュー段階です。 Azure Storage の ABAC の完全な機能状態情報については、「Azure Storage の条件機能の状態」を参照してください。

ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

[前提条件]

ロールの割り当て条件を追加または編集するための前提条件の詳細については、条件の前提条件に関するページを参照してください。

この記事の例の概要

次の表を使用して、ABAC シナリオに適した例をすばやく見つけてください。この表には、シナリオの簡単な説明と、ソース (環境、プリンシパル、要求、リソース) 別に例で使用される属性の一覧が含まれています。

例	環境	校長	リクエスト	リソース
BLOB インデックスタグを使用した BLOB の読み取り				タグ
新しい BLOB には BLOB インデックスタグを含める必要があります			タグ
既存の BLOB には BLOB インデックスタグキーが必要です			タグ
既存の BLOB には、BLOB インデックスタグのキーと値が必要です			タグ
名前付きコンテナー内の BLOB の読み取り、書き込み、または削除				コンテナー名
パスを使用して名前付きコンテナー内の BLOB を読み取る				コンテナー名ブロブパス
パスを持つ名前付きコンテナー内の BLOB の読み取りまたは一覧表示			BLOB プレフィックス	コンテナー名ブロブパス
パスを使用して名前付きコンテナーに BLOB を書き込む				コンテナー名ブロブパス
BLOB インデックスタグとパスを使用した BLOB の読み取り				タグ BLOB パス
特定のメタデータを使用してコンテナー内の BLOB を読み取る				コンテナーメタデータ
特定のメタデータを使用してコンテナー内の BLOB を書き込むまたは削除する				コンテナーメタデータ
現在の BLOB バージョンのみを読み取ります				isCurrentVersion
現在の BLOB バージョンと特定の BLOB バージョンを読み取る			versionId	isCurrentVersion
古い BLOB バージョンを削除する			versionId
現在の BLOB バージョンとすべての BLOB スナップショットを読み取る			スナップショット	isCurrentVersion
リスト BLOB 操作に BLOB のメタデータ、スナップショット、またはバージョンを含めることを許可する			リスト BLOB インクルード
リスト BLOB 操作に BLOB メタデータを含めないように制限する			リスト BLOB インクルード
階層型名前空間が有効になっているストレージアカウントの読み取り専用				isHnsEnabled
特定の暗号化スコープを持つ BLOB の読み取り				暗号化スコープ名
特定の暗号化スコープを持つ名前付きストレージアカウント内の BLOB の読み取りまたは書き込み				ストレージアカウント名暗号化スコープ名
BLOB インデックスタグとカスタムセキュリティ属性に基づく BLOB の読み取りまたは書き込み		身分証明書	タグ	タグ
BLOB インデックスタグと複数値のカスタムセキュリティ属性に基づく BLOB の読み取り		身分証明書		タグ
特定の日時より後の BLOB への読み取りアクセスを許可する	UtcNow			コンテナー名
特定のサブネットから特定のコンテナー内の BLOB へのアクセスを許可する	サブネット			コンテナー名
機密性の高い BLOB を読み取るためにプライベートリンクアクセスを要求する	isPrivateLink			タグ
特定のプライベートエンドポイントからのみコンテナーへのアクセスを許可する	プライベートエンドポイント			コンテナー名
例: 機密性の高い BLOB データへの読み取りアクセスを特定のプライベートエンドポイントからのみ許可し、アクセス用にタグ付けされたユーザーが許可する	プライベートエンドポイント	身分証明書		タグ

BLOB インデックスタグ

このセクションには、BLOB インデックスタグに関連する例が含まれています。

重要

Read content from a blob with tag conditions サブ操作は現在、ABAC 機能プレビュー中に実装された条件との互換性のためにサポートされていますが、非推奨とされており、代わりに Read a blob アクションを使用することをお勧めします。

Azure portal で ABAC 条件を構成すると、"非推奨: タグ条件を使用して BLOB からコンテンツを読み取る" と表示されることがあります。操作を削除し、Read a blob アクションに置き換えることをお勧めします。

タグ条件によって読み取りアクセスを制限する独自の条件を作成する場合は、「例: BLOB インデックスタグを使用した BLOB の読み取り」を参照してください。

例: BLOB インデックスタグを使用して BLOB を読み取る

この条件により、ユーザーは Project の BLOB インデックスタグキーと値 Cascade を使用して BLOB を読み取ることができます。このキー値タグのない BLOB へのアクセスは許可されません。

この条件をセキュリティプリンシパルに対して有効にするには、次のアクションを含むすべてのロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

BLOB インデックスタグを使用した BLOB への読み取りアクセスを示す条件の図。

Azure portal または Azure PowerShell を使用して、条件をロールの割り当てに追加できます。ポータルには、ABAC 条件を構築するための 2 つのツール (ビジュアルエディターとコードエディター) があります。 Azure portal で 2 つのエディターを切り替えて、さまざまなビューで条件を表示できます。 [ビジュアルエディター] タブと [コードエディター] タブを切り替えて、好みのポータルエディターの例を表示します。

Azure portal ビジュアルエディターを使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る)
Attribute source (属性ソース)	資源
特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
鍵	{keyName}
オペレーター	StringEquals
価値	{keyValue}

コードエディターを使用して条件を追加するには、条件コードサンプルをコピーしてコードエディターに貼り付けます。コードを入力したら、ビジュアルエディターに戻って検証します。

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、BLOB インデックスタグをチェックする式に対してさらに評価されます。

ユーザーが割り当てられたロールで、条件によって制限されたアクション ではない アクションを実行しようとすると、 !(ActionMatches) は true に評価され、全体的な条件は true に評価されます。この結果により、アクションを実行できます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
Get-AzStorageBlob -Container <containerName> -Blob <blobName> -Context $bearerCtx

例: 新しい BLOB には BLOB インデックスタグを含める必要がある

この条件では、新しい BLOB に Project の BLOB インデックスタグキーと値 Cascade を含める必要があります。

新しい BLOB を作成できるアクションは 2 つあります。そのため、両方を対象にする必要があります。この条件は、次のいずれかのアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

新しい BLOB に BLOB インデックスタグを含める必要がある条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Write to a blob with blob index tags (BLOB インデックスタグを使用して BLOB に書き込む) Write to a blob with blob index tags (BLOB インデックスタグを使用して BLOB に書き込む)
Attribute source (属性ソース)	リクエスト
特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
鍵	{keyName}
オペレーター	StringEquals
価値	{keyValue}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEquals 'Cascade'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] StringEquals 'Cascade'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Project'='Baker'}
$grantedTag = @{'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example2 -Blob "Example2.txt" -Tag $grantedTag -Context $bearerCtx

例: 既存の BLOB には BLOB インデックスタグキーが必要

この条件では、既存の BLOB に、許可されている BLOB インデックスタグキーの少なくとも 1 つ (Project または Program) を使用してタグ付けする必要があります。この条件は、既存の BLOB にガバナンスを追加する場合に役立ちます。

既存の BLOB のタグを更新できるアクションは 2 つあります。そのため、両方を対象にする必要があります。この条件は、次のいずれかのアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

既存の BLOB に BLOB インデックスタグキーが必要であることを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Write to a blob with blob index tags (BLOB インデックスタグを使用して BLOB に書き込む) Write blob index tags (BLOB インデックスタグを書き込む)
Attribute source (属性ソース)	リクエスト
特性	Blob index tags [Keys] (BLOB インデックスタグ [キー])
オペレーター	ForAllOfAnyValues:StringEquals
価値	{keyName1} {keyName2}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAllOfAnyValues:StringEquals {'Project', 'Program'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$localSrcFile = # path to an example file, can be an empty txt
$ungrantedTag = @{'Mode'='Baker'}
$grantedTag = @{'Program'='Alpine';'Project'='Cascade'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
$content = Set-AzStorageBlobContent -File $localSrcFile -Container example3 -Blob "Example3.txt" -Tag $grantedTag -Context $bearerCtx

例: 既存の BLOB には、BLOB インデックスタグのキーと値が必要です

この条件では、既存のすべての BLOB に Project の BLOB インデックスタグキーと Cascade、Baker、または Skagit の値が必要です。この条件は、既存の BLOB にガバナンスを追加する場合に役立ちます。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

既存の BLOB に BLOB インデックスタグキーと値が必要であることを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Write to a blob with blob index tags (BLOB インデックスタグを使用して BLOB に書き込む) Write blob index tags (BLOB インデックスタグを書き込む)
Attribute source (属性ソース)	リクエスト
特性	Blob index tags [Keys] (BLOB インデックスタグ [キー])
オペレーター	ForAnyOfAnyValues:StringEquals
価値	{keyName}
オペレーター	そして
式 2
Attribute source (属性ソース)	リクエスト
特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
鍵	{keyName}
オペレーター	ForAllOfAnyValues:StringEquals
価値	{keyValue1} {keyValue2} {keyValue3}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&$keys$&] ForAnyOfAnyValues:StringEquals {'Project'}
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write'})) OR (@Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags&`$keys`$&] ForAnyOfAnyValues:StringEquals {'Project'} AND @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<`$key_case_sensitive`$>] ForAllOfAnyValues:StringEquals {'Cascade', 'Baker', 'Skagit'}))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$localSrcFile = <pathToLocalFile>
$ungrantedTag = @{'Project'='Alpine'}
$grantedTag1 = @{'Project'='Cascade'}
$grantedTag2 = @{'Project'='Baker'}
$grantedTag3 = @{'Project'='Skagit'}
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# try ungranted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $ungrantedTag -Context $bearerCtx
# try granted tags
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag1 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag2 -Context $bearerCtx
Set-AzStorageBlobTag -Container example4 -Blob "Example4.txt" -Tag $grantedTag3 -Context $bearerCtx

BLOB コンテナーの名前またはパス

このセクションでは、コンテナー名または BLOB パスに基づいてオブジェクトへのアクセスを制限する方法を示す例を示します。

例: 名前付きコンテナー内の BLOB の読み取り、書き込み、または削除

この条件により、ユーザーは blobs-example-container という名前のストレージコンテナー内の BLOB を読み取り、書き込み、または削除できます。この条件は、サブスクリプション内の他のユーザーと特定のストレージコンテナーを共有する場合に役立ちます。

既存の BLOB の読み取り、書き込み、削除には 5 つのアクションがあります。この条件は、次のいずれかのアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。この条件に含まれるストレージアカウントで階層型名前空間が有効になっているか、今後有効になる可能性がある場合に追加します。

サブ操作は、条件がタグに基づいて作成される場合にのみ必要であるため、この条件ではサブ操作は使用されません。

名前付きコンテナー内の BLOB の読み取り、書き込み、または削除を示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	BLOB を削除する Read a blob (BLOB を読み取る) Write to a blob (BLOB に書き込む) Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する) 階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	資源
特性	コンテナー名
オペレーター	StringEquals
価値	{containerName}

ストレージ BLOB データ所有者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$localSrcFile = <pathToLocalFile>
$grantedContainer = "blobs-example-container"
$ungrantedContainer = "ungranted"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Ungranted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $ungrantedContainer -Blob "Example5.txt" -Context $bearerCtx
# Granted Container actions
$content = Set-AzStorageBlobContent -File $localSrcFile -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx
$content = Remove-AzStorageBlob -Container $grantedContainer -Blob "Example5.txt" -Context $bearerCtx

例: パスを使用して名前付きコンテナー内の BLOB を読み取る

この条件により、BLOB パスが readonly/* である blobs-example-container という名前のストレージコンテナーへの読み取りアクセスが許可されます。この条件は、サブスクリプション内の他のユーザーと読み取りアクセスのためにストレージコンテナーの特定の部分を共有する場合に役立ちます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。この条件に含まれるストレージアカウントで階層型名前空間が有効になっているか、今後有効になる可能性がある場合に追加します。

パスを持つ名前付きコンテナー内の BLOB への読み取りアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る) 階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	資源
特性	コンテナー名
オペレーター	StringEquals
価値	{containerName}
式 2
オペレーター	そして
Attribute source (属性ソース)	資源
特性	BLOB パス
オペレーター	StringLike
価値	{pathString}

ストレージ BLOB データ所有者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

ストレージ BLOB データ閲覧者、 ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、コンテナー名とパスをチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'readonly/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$grantedContainer = "blobs-example-container"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "Ungranted.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "readonly/Example6.txt" -Context $bearerCtx

例: パスを持つ名前付きコンテナー内の BLOB の読み取りまたは一覧表示

この条件により、読み取りアクセスが許可され、BLOB パスが readonly/* である blobs-example-container という名前のストレージコンテナーへのアクセスも一覧表示されます。条件 #1 は、リスト BLOB を除く読み取りアクションに適用されます。条件 #2 は、リスト BLOB に適用されます。この条件は、読み取りまたはリストアクセスのためにストレージコンテナーの特定の部分をサブスクリプション内の他のユーザーと共有する場合に役立ちます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。この条件に含まれるストレージアカウントで階層型名前空間が有効になっているか、今後有効になる可能性がある場合に追加します。

パスを持つ名前付きコンテナー内の BLOB への読み取りと一覧表示のアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

注

Azure portal では、prefix='' を使用してコンテナーのルートディレクトリから BLOB を一覧表示します。プレフィックス StringStartsWith 'readonly/' を使用して BLOB の一覧表示操作で条件を追加すると、対象ユーザーは Azure portal でコンテナーのルートディレクトリから BLOB を一覧表示できなくなります。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る) 階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	資源
特性	コンテナー名
オペレーター	StringEquals
価値	{containerName}
式 2
オペレーター	そして
Attribute source (属性ソース)	資源
特性	BLOB パス
オペレーター	StringStartsWith
価値	{pathString}

条件 #2	設定
アクション	BLOB をリストする階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	資源
特性	コンテナー名
オペレーター	StringEquals
価値	{containerName}
式 2
オペレーター	そして
Attribute source (属性ソース)	リクエスト
特性	BLOB プレフィックス
オペレーター	StringStartsWith
価値	{pathString}

ストレージ BLOB データ所有者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

ストレージ BLOB データ閲覧者、 ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringStartsWith 'readonly/'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'blobs-example-container'
  AND
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:prefix] StringStartsWith 'readonly/'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: パスを使用して名前付きコンテナーに BLOB を書き込む

この条件により、パートナー (Microsoft Entra ゲストユーザー) は、uploads/contoso/* のパスを持つ Contosocorp という名前のストレージコンテナーにファイルをドロップできます。この条件は、他のユーザーがストレージコンテナーにデータを配置できるようにするために役立ちます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。この条件に含まれるストレージアカウントで階層型名前空間が有効になっているか、今後有効になる可能性がある場合に追加します。

パスを持つ名前付きコンテナー内の BLOB への書き込みアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Write to a blob (BLOB に書き込む) Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する) 階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	資源
特性	コンテナー名
オペレーター	StringEquals
価値	{containerName}
式 2
オペレーター	そして
Attribute source (属性ソース)	資源
特性	BLOB パス
オペレーター	StringLike
価値	{pathString}

ストレージ BLOB データ所有者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp'
  AND
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) AND !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'contosocorp' AND @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'uploads/contoso/*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$grantedContainer = "contosocorp"
$localSrcFile = <pathToLocalFile>
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to set ungranted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "Example7.txt" -Context $bearerCtx -File $localSrcFile
# Try to set granted blob
$content = Set-AzStorageBlobContent -Container $grantedContainer -Blob "uploads/contoso/Example7.txt" -Context $bearerCtx -File $localSrcFile

例: BLOB インデックスタグとパスを使用して BLOB を読み取る

この条件により、ユーザーは Program の BLOB インデックスタグキー、Alpine の値、およびログの BLOB パス* を使用して BLOB を読み取ることができます。ログの BLOB パス* には、BLOB 名も含まれます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

BLOB インデックスタグとパスを持つ BLOB への読み取りアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る)
Attribute source (属性ソース)	資源
特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
鍵	{keyName}
オペレーター	StringEquals
価値	{keyValue}

条件 #2	設定
アクション	Read a blob (BLOB を読み取る)
Attribute source (属性ソース)	資源
特性	BLOB パス
オペレーター	StringLike
価値	{pathString}

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<$key_case_sensitive$>] StringEquals 'Alpine'
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、BLOB インデックスタグとパスをチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Program<`$key_case_sensitive`$>] StringEquals 'Alpine')) AND ((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:path] StringLike 'logs*'))"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

この条件をテストする方法は次のとおりです。

$grantedContainer = "contosocorp"
# Get new context for request
$bearerCtx = New-AzStorageContext -StorageAccountName $storageAccountName
# Try to get ungranted blobs
# Wrong name but right tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "AlpineFile.txt" -Context $bearerCtx
# Right name but wrong tags
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logsAlpine.txt" -Context $bearerCtx
# Try to get granted blob
$content = Get-AzStorageBlobContent -Container $grantedContainer -Blob "logs/AlpineFile.txt" -Context $bearerCtx

BLOB コンテナーのメタデータ

例: 特定のメタデータを使用してコンテナー内の BLOB を読み取る

この条件により、ユーザーは特定のメタデータキーと値のペアを持つ BLOB コンテナー内の BLOB を読み取ることができます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る)
Attribute source (属性ソース)	資源
特性	コンテナーメタデータ
オペレーター	StringEquals
価値	{containerName}

ストレージ BLOB データリーダー

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
)"
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

例: 特定のメタデータを含むコンテナー内の BLOB を書き込むまたは削除する

この条件により、ユーザーは特定のメタデータキーと値のペアを持つ BLOB コンテナー内の BLOB を書き込んだり削除したりできます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Write to a blob (BLOB に書き込む) BLOB を削除する
Attribute source (属性ソース)	資源
特性	コンテナーメタデータ
オペレーター	StringEquals
価値	{containerName}

ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用してこの条件を追加する方法を次に示します。

$condition = "( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/metadata:testKey] StringEquals 'testValue' `
 ) `
) `
$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

BLOB のバージョンまたは BLOB のスナップショット

このセクションでは、BLOB のバージョンまたはスナップショットに基づいてオブジェクトへのアクセスを制限する方法を示す例を示します。

例: 現在の BLOB バージョンのみを読み取る

この条件により、ユーザーは現在の BLOB バージョンのみを読み取ることができます。ユーザーは他の BLOB バージョンを読み取ることはできません。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

現在の BLOB バージョンへの読み取りアクセスのみを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る) 階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	資源
特性	現在のバージョンかどうか
オペレーター	BoolEquals
価値	正しい

ストレージ BLOB データ所有者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

ストレージ BLOB データ閲覧者、 ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、バージョンをチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: 現在の BLOB バージョンと特定の BLOB バージョンを読み取る

この条件により、ユーザーは現在の BLOB バージョンを読み取り、バージョン ID が 2022-06-01T23:38:32.8883645Z の BLOB を読み取ることができます。ユーザーは他の BLOB バージョンを読み取ることはできません。バージョン ID 属性は、階層型名前空間が有効になっていないストレージアカウントでのみ使用できます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

特定の BLOB バージョンへの読み取りアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る)
Attribute source (属性ソース)	リクエスト
特性	バージョン ID
オペレーター	DateTimeEquals
価値	<blobVersionId>
式 2
オペレーター	又は
Attribute source (属性ソース)	資源
特性	現在のバージョンかどうか
オペレーター	BoolEquals
価値	正しい

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeEquals '2022-06-01T23:38:32.8883645Z'
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、バージョン情報をチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: 古い BLOB バージョンを削除する

この条件により、ユーザーは 2022 年 6 月 1 日より前の BLOB のバージョンを削除してクリーンアップを実行できます。バージョン ID 属性は、階層型名前空間が有効になっていないストレージアカウントでのみ使用できます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action`

古い BLOB バージョンへの削除アクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	BLOB を削除する Delete a version of a blob (BLOB のバージョンを削除する)
Attribute source (属性ソース)	リクエスト
特性	バージョン ID
オペレーター	DateTimeLessThan
価値	<blobVersionId>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/deleteBlobVersion/action'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:versionId] DateTimeLessThan '2022-06-01T00:00:00.0Z'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: 現在の BLOB バージョンと BLOB スナップショットを読み取る

この条件により、ユーザーは現在の BLOB バージョンと BLOB スナップショットを読み取ることができます。バージョン ID 属性は、階層型名前空間が有効になっていないストレージアカウントでのみ使用できます。スナップショット属性は、階層型名前空間が有効になっていないストレージアカウントで使用でき、階層型名前空間が有効になっているストレージアカウントでは現在プレビュー段階です。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

現在の BLOB バージョンと BLOB スナップショットへの読み取りアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る) 階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	リクエスト
特性	スナップショット
存在する	チェック済み
式 2
オペレーター	又は
Attribute source (属性ソース)	資源
特性	現在のバージョンかどうか
オペレーター	BoolEquals
価値	正しい

ストレージ BLOB データ所有者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

ストレージ BLOB データ閲覧者、 ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  Exists @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:snapshot]
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:isCurrentVersion] BoolEquals true
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、バージョンとスナップショットの情報をチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: BLOB メタデータ、スナップショット、またはバージョンを含めるリスト BLOB 操作を許可する

この条件により、ユーザーはコンテナー内の BLOB を一覧表示し、メタデータ、スナップショット、バージョン情報を含めることができます。 List BLOB include 属性は、階層型名前空間が有効になっていないストレージアカウントで使用できます。

注

リスト BLOB には要求属性が含まれており、include 操作を呼び出すときに、パラメーターの値を許可または制限することで機能します。 include パラメーターの値は、クロス積比較演算子を使用して条件で指定された値と比較されます。比較が true と評価された場合は、 List Blobs 要求が許可されます。比較が false と評価された場合、 List Blobs 要求は拒否されます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	BLOB をリストする
Attribute source (属性ソース)	リクエスト
特性	リスト BLOB インクルード
オペレーター	ForAllOfAnyValues:StringEqualsIgnoreCase
価値	{'メタデータ'、'スナップショット'、'バージョン'}

ストレージ BLOB データリーダー

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAnyValues:StringEqualsIgnoreCase {'metadata', 'snapshots', 'versions'}
 )
)

この例では、サブ操作が Blob.Listされたときに、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は、 include 値をチェックする式に対してさらに評価されますが、他のすべての読み取りアクションは許可されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: BLOB のリスト操作に BLOB メタデータを含めないように制限する

この条件により、要求にメタデータが含まれている場合に、ユーザーが BLOB を一覧表示できないように制限されます。 List BLOB include 属性は、階層型名前空間が有効になっていないストレージアカウントで使用できます。

注

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	BLOB をリストする
Attribute source (属性ソース)	リクエスト
特性	リスト BLOB インクルード
オペレーター	ForAllOfAllValues:StringNotEquals
価値	{'metadata'}

ストレージ BLOB データリーダー

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs:include] ForAllOfAllValues:StringNotEquals {'metadata'}
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

階層型名前空間

このセクションでは、ストレージアカウントに対して階層型名前空間が有効になっているかどうかに基づいて、オブジェクトへのアクセスを制限する方法を示す例を示します。

例: 階層型名前空間が有効になっている読み取り専用のストレージアカウント

この条件により、ユーザーは階層型名前空間が有効になっているストレージアカウント内の BLOB のみを読み取ることができます。この条件は、リソースグループスコープ以上でのみ適用されます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

階層型名前空間が有効になっているストレージアカウントへの読み取りアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る) 階層型名前空間が有効になっているアカウントのすべてのデータ操作 (該当する場合)
Attribute source (属性ソース)	資源
特性	階層型名前空間は有効か
オペレーター	BoolEquals
価値	正しい

ストレージ BLOB データ所有者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

ストレージ BLOB データ閲覧者、 ストレージ BLOB データ共同作成者

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:isHnsEnabled] BoolEquals true
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、階層型名前空間をチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

暗号化スコープ

このセクションには、承認された暗号化スコープを持つオブジェクトへのアクセスを制限する方法を示す例が含まれています。

例: 特定の暗号化スコープを持つ BLOB を読み取る

この条件により、ユーザーは暗号化スコープの validScope1 または validScope2で暗号化された BLOB を読み取ることができます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

暗号化スコープ validScope1 または validScope2 を持つ BLOB への読み取りアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る)
Attribute source (属性ソース)	資源
特性	暗号化スコープ名
オペレーター	ForAnyOfAnyValues:StringEquals
価値	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'validScope1', 'validScope2'}
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、暗号化スコープをチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: 特定の暗号化スコープを持つ名前付きストレージアカウント内の BLOB の読み取りまたは書き込み

この条件により、ユーザーは、 sampleaccount という名前のストレージアカウント内の BLOB の読み取りまたは書き込みを行い、暗号化スコープの ScopeCustomKey1で暗号化できます。 BLOB が ScopeCustomKey1で暗号化または暗号化解除されていない場合、要求は禁止を返します。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

注

ストレージアカウントごとに暗号化スコープが異なる可能性があるため、 storageAccounts:name 属性と encryptionScopes:name 属性を使用して、許可する特定の暗号化スコープを制限することをお勧めします。

暗号化スコープ ScopeCustomKey1 を持つ sampleaccount ストレージアカウント内の BLOB への読み取りまたは書き込みアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	Read a blob (BLOB を読み取る) Write to a blob (BLOB に書き込む) Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する)
Attribute source (属性ソース)	資源
特性	アカウント名
オペレーター	StringEquals
価値	<アカウント名>
式 2
オペレーター	そして
Attribute source (属性ソース)	資源
特性	暗号化スコープ名
オペレーター	ForAnyOfAnyValues:StringEquals
価値	<scopeName>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
  AND
  @Resource[Microsoft.Storage/storageAccounts/encryptionScopes:name] ForAnyOfAnyValues:StringEquals {'ScopeCustomKey1'}
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

プリンシパル属性

このセクションでは、カスタムセキュリティプリンシパルに基づいてオブジェクトへのアクセスを制限する方法を示す例を示します。

例: BLOB インデックスタグとカスタムセキュリティ属性に基づく BLOB の読み取りまたは書き込み

この条件により、ユーザーが BLOB インデックスタグに一致するカスタムセキュリティ属性を持っている場合、BLOB への読み取りまたは書き込みアクセスが許可されます。

たとえば、Brenda に属性 Project=Bakerがある場合、 Project=Baker BLOB インデックスタグを持つ BLOB の読み取りまたは書き込みのみが可能です。同様に、Chandra では、 Project=Cascadeを使用した BLOB の読み取りまたは書き込みのみが可能です。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

詳細については、「タグとカスタムセキュリティ属性に基づいて BLOB への読み取りアクセスを許可する」を参照してください。

BLOB インデックスタグとカスタムセキュリティ属性に基づく BLOB への読み取りまたは書き込みアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	ブロブの条件を読む
Attribute source (属性ソース)	プリンシパル
特性	<attributeset>_<key>
オペレーター	StringEquals
選択肢	特性
Attribute source (属性ソース)	資源
特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
鍵	<鍵>

条件 #2	設定
アクション	Write to a blob with blob index tags (BLOB インデックスタグを使用して BLOB に書き込む) Write to a blob with blob index tags (BLOB インデックスタグを使用して BLOB に書き込む)
Attribute source (属性ソース)	プリンシパル
特性	<attributeset>_<key>
オペレーター	StringEquals
選択肢	特性
Attribute source (属性ソース)	リクエスト
特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
鍵	<鍵>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)
AND
(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'} AND SubOperationMatches{'Blob.Write.WithTagHeaders'})
 )
 OR 
 (
  @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project] StringEquals @Request[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>]
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

例: BLOB インデックスタグと複数値のカスタムセキュリティ属性に基づいて BLOB を読み取る

この条件により、ユーザーが BLOB インデックスタグに一致する値を持つカスタムセキュリティ属性を持っている場合、BLOB への読み取りアクセスが許可されます。

たとえば、もし Chandra がベイカーとカスケードという値を持つ Project 属性を持っている場合、Project=Baker または Project=Cascade のインデックスタグが付いている BLOB のみを読み取ることができます。

この条件は、次のアクションを含むロールの割り当てに追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

詳細については、「タグとカスタムセキュリティ属性に基づいて BLOB への読み取りアクセスを許可する」を参照してください。

BLOB インデックスタグと複数値のカスタムセキュリティ属性に基づく BLOB への読み取りアクセスを示す条件の図。

Azure portal を使用してこの条件を追加する設定を次に示します。

条件 #1	設定
アクション	ブロブの条件を読む
Attribute source (属性ソース)	資源
特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
鍵	<鍵>
オペレーター	ForAnyOfAnyValues:StringEquals
選択肢	特性
Attribute source (属性ソース)	プリンシパル
特性	<attributeset>_<key>

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR 
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] ForAnyOfAnyValues:StringEquals @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:Engineering_Project]
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは、BLOB インデックスタグとカスタムセキュリティ属性をチェックする式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

環境属性

このセクションでは、ネットワーク環境または現在の日時に基づいてオブジェクトへのアクセスを制限する方法を示す例を示します。

例: 特定の日時より後の BLOB への読み取りアクセスを許可する

この条件により、2023 年 5 月 1 日の午後 1 時 (UTC) より後にのみ、BLOB コンテナー container1 への読み取りアクセスが許可されます。

既存の BLOB を読み取るための 2 つの潜在的なアクションがあります。複数のロールの割り当てを持つプリンシパルに対してこの条件を有効にするには、次のいずれかのアクションを含むすべてのロールの割り当てにこの条件を追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

アクションを追加する

アクションを追加 を選択し、その後、次に示す表のように BLOB を読み取る サブ操作のみを選択します。

アクション	サブ操作
すべての読み取り操作	Read a blob (BLOB を読み取る)

次の図に示すように、[ すべての読み取り操作 ] アクションまたはその他のサブ操作を最上位レベルで選択しないでください。

式の作成

次の表の値を使用して、条件の式部分を作成します。

設定価値

Attribute source (属性ソース) 資源

特性コンテナー名

オペレーター StringEquals

価値 container1

論理演算子 'AND'

Attribute source (属性ソース) 環境

特性 UtcNow

オペレーター DateTimeGreaterThan

価値 2023-05-01T13:00:00.000Z

次の図は、Azure portal に設定が入力された後の条件を示しています。正しい評価を確実に行うには、式をグループ化する必要があります。

コードエディターを使用して条件を追加するには、次の条件コードサンプルをコピーし、コードエディターに貼り付けます。コードを入力したら、ビジュアルエディターに戻って検証します。

( 
 ( 
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) 
 ) 
 OR  
 ( 
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
  AND 
  @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.000Z' 
 ) 
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用して 、ストレージ BLOB データ閲覧者 ロールにこの条件を追加する方法を次に示します。

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$dateTime = "2023-05-01T13:00:00.000Z"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[UtcNow] DateTimeGreaterThan '$dateTime' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

例: 特定のサブネットから特定のコンテナー内の BLOB へのアクセスを許可する

この条件により、仮想ネットワーク container1上のサブネット defaultからのみ、virtualnetwork1内の BLOB への読み取り、書き込み、追加、削除のアクセスが許可されます。この例で Subnet 属性を使用するには、サブネットで Azure Storage のサービスエンドポイントが有効になっている必要があります。

既存の BLOB への読み取り、書き込み、追加、削除のアクセスには、5 つの潜在的なアクションがあります。複数のロールの割り当てを持つプリンシパルに対してこの条件を有効にするには、次のいずれかのアクションを含むすべてのロールの割り当てにこの条件を追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

アクションを追加する

[ アクションの追加] を選択し、次の表に示す最上位レベルのアクションのみを選択します。

アクション	サブ操作
すべての読み取り操作	該当なし
Write to a blob (BLOB に書き込む)	該当なし
Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する)	該当なし
BLOB を削除する	該当なし

次の図に示すように、個々のサブ操作を選択しないでください。

式の作成

次の表の値を使用して、条件の式部分を作成します。

設定価値

Attribute source (属性ソース) 資源

特性コンテナー名

オペレーター StringEquals

価値 container1

論理演算子 'AND'

Attribute source (属性ソース) 環境

特性サブネット

オペレーター StringEqualsIgnoreCase

価値 /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default

次の図は、Azure portal に設定が入力された後の条件を示しています。正しい評価を確実に行うには、式をグループ化する必要があります。

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name]StringEquals 'container1'
  AND
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用して 、ストレージ BLOB データ共同作成者 ロールにこの条件を追加する方法を次に示します。

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$vnetName = "virtualnetwork1"
$subnetName = "default"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
 !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR ` 
 ( `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
  AND `
  @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/virtualNetworks/$vnetName/subnets/$subnetName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

例: 秘密度の高い BLOB を読み取るためにプライベートリンクアクセスを要求する

この条件では、BLOB インデックスタグの sensitivity の値がプライベートリンク (任意のプライベートリンク) 上で high に設定されている BLOB の読み取り要求が必要です。つまり、パブリックインターネットから機密性の高い BLOB を読み取ろうとしても許可されません。ユーザーは、sensitivity が high 以外の値に設定されているパブリックインターネットから BLOB を読み取ることができます。

この ABAC サンプル条件の真偽表は次のとおりです。

アクション	感受性	プライベートリンク	Access
Read a blob (BLOB を読み取る)	高い	はい	許可
Read a blob (BLOB を読み取る)	高い	いいえ	不可
Read a blob (BLOB を読み取る)	高くない	はい	許可
Read a blob (BLOB を読み取る)	高くない	いいえ	許可

アクション注記

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

Azure portal のビジュアル条件エディターを使用してこの条件を追加する設定を次に示します。

アクションを追加する

アクションを追加 を選択し、その後、次に示す表のように BLOB を読み取る サブ操作のみを選択します。

アクション	サブ操作
すべての読み取り操作	Read a blob (BLOB を読み取る)

次の図に示すように、他のサブ操作の最上位レベル の [すべての読み取り操作 ] アクションを選択しないでください。

式の作成

次の表の値を使用して、条件の式部分を作成します。

グループ設定価値

グループ #1

Attribute source (属性ソース) 資源

特性 Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])

鍵 sensitivity

オペレーター StringEquals

価値 high

論理演算子 'AND'

Attribute source (属性ソース) 環境

特性プライベートリンク

オペレーター BoolEquals

価値 True

第1グループの終了

論理演算子 'OR'

Attribute source (属性ソース) 資源

特性 Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])

鍵 sensitivity

オペレーター StringNotEquals

価値 high

次の図は、Azure portal に設定が入力された後の条件を示しています。正しい評価を確実に行うには、式をグループ化する必要があります。

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringEquals 'high'
   AND
   @Environment[isPrivateLink] BoolEquals true
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

この例では、サブ操作が Blob.Listされている場合を除き、条件によって読み取りアクションが制限されます。つまり、リスト BLOB 操作は許可されますが、他のすべての読み取りアクションは式に対してさらに評価されます。

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用して 、ストレージ BLOB データ閲覧者 ロールにこの条件を追加する方法を次に示します。

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringEquals 'high' `
   AND `
   @Environment[isPrivateLink] BoolEquals true `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

例: 特定のプライベートエンドポイントからのみコンテナーへのアクセスを許可する

この条件では、container1という名前のプライベートエンドポイントを使用して、privateendpoint1という名前のストレージコンテナー内の BLOB に対するすべての読み取り、書き込み、追加、および削除操作を行う必要があります。 container1という名前ではない他のすべてのコンテナーについては、プライベートエンドポイント経由でアクセスする必要はありません。

既存の BLOB の読み取り、書き込み、削除には、5 つの潜在的なアクションがあります。複数のロールの割り当てを持つプリンシパルに対してこの条件を有効にするには、次のいずれかのアクションを含むすべてのロールの割り当てにこの条件を追加する必要があります。

アクション	注記
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete`
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action`	ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。この条件に含まれるストレージアカウントで階層型名前空間が有効になっているか、今後有効になる可能性がある場合に追加します。

Azure portal のビジュアル条件エディターを使用してこの条件を追加する設定を次に示します。

アクションを追加する

[ アクションの追加] を選択し、次の表に示す最上位レベルのアクションのみを選択します。

アクション	サブ操作
すべての読み取り操作	該当なし
Write to a blob (BLOB に書き込む)	該当なし
Create a blob or snapshot, or append data (BLOB またはスナップショットを作成するか、データを追加する)	該当なし
BLOB を削除する	該当なし

次の図に示すように、個々のサブ操作を選択しないでください。

式の作成

次の表の値を使用して、条件の式部分を作成します。

グループ設定価値

グループ #1

Attribute source (属性ソース) 資源

特性コンテナー名

オペレーター StringEquals

価値 container1

論理演算子 'AND'

Attribute source (属性ソース) 環境

特性プライベートエンドポイント

オペレーター StringEqualsIgnoreCase

価値 /subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1

第1グループの終了

論理演算子 'OR'

Attribute source (属性ソース) 資源

特性コンテナー名

オペレーター StringNotEquals

価値 container1

次の図は、Azure portal に設定が入力された後の条件を示しています。正しい評価を確実に行うには、式をグループ化する必要があります。

コードエディターを使用して条件を追加するには、割り当てに関連付けられているロールに応じて、次の条件コードサンプルのいずれかを選択します。コードを入力したら、ビジュアルエディターに戻って検証します。

ストレージ BLOB データ所有者:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

ストレージ BLOB データ共同作成者:

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'})
  AND
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'})
 )
 OR
 (
  (
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals 'container1'
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals 'container1'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用して 、ストレージ BLOB データ共同作成者 ロールにこの条件を追加する方法を次に示します。

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Contributor"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$containerName = "container1"
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action'}) `
  AND `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete'}) `
 ) `
 OR `
 ( `
  ( `
   @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringEquals '$containerName' `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers:name] StringNotEquals '$containerName' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

例: 機密性の高い BLOB データへの読み取りアクセスを特定のプライベートエンドポイントからのみ許可し、アクセス用にタグ付けされたユーザーが許可する

この条件では、インデックスタグ の秘密度 が high に設定されている BLOB は、 秘密度 セキュリティ属性に一致する値を持つユーザーのみが読み取ることができる必要があります。さらに、 privateendpoint1という名前のプライベートエンドポイント経由でアクセスする必要があります。 秘密度タグの値が異なる BLOB には、他のエンドポイントまたはインターネット経由でアクセスできます。

アクション注記

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read

Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action ロール定義にこのアクション (ストレージ BLOB データ所有者など) が含まれている場合に追加します。

Azure portal のビジュアル条件エディターを使用してこの条件を追加する設定を次に示します。

アクションを追加する

アクションを追加 を選択し、その後、次に示す表のように BLOB を読み取る サブ操作のみを選択します。

アクション	サブ操作
すべての読み取り操作	Read a blob (BLOB を読み取る)

次の図に示すように、最上位レベルのアクションを選択しないでください。

式の作成

次の表の値を使用して、条件の式部分を作成します。

グループ	設定	価値
グループ #1
	Attribute source (属性ソース)	プリンシパル
	特性	<attributeset>_<key>
	オペレーター	StringEquals
	選択肢	特性
	論理演算子	'AND'
	Attribute source (属性ソース)	資源
	特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
	鍵	<鍵>
	論理演算子	'AND'
	Attribute source (属性ソース)	環境
	特性	プライベートエンドポイント
	オペレーター	StringEqualsIgnoreCase
	価値	`/subscriptions/<your subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/privateEndpoints/privateendpoint1`
第1グループの終了
	論理演算子	'OR'
	Attribute source (属性ソース)	資源
	特性	Blob index tags [Values in key] (BLOB インデックスタグ [キー内の値])
	鍵	`sensitivity`
	オペレーター	StringNotEquals
	価値	`high`

次の図は、Azure portal に設定が入力された後の条件を示しています。正しい評価を確実に行うには、式をグループ化する必要があります。

(
 (
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})
 )
 OR
 (
  (
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>]
   AND
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/<your subscription id>/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
  )
  OR
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<$key_case_sensitive$>] StringNotEquals 'high'
 )
)

条件の書式設定と評価方法の詳細については、「条件の形式」を参照してください。

Azure PowerShell を使用して 、ストレージ BLOB データ閲覧者 ロールにこの条件を追加する方法を次に示します。

$subId = "<your subscription id>"
$rgName = "<resource group name>"
$storageAccountName = "<storage account name>"
$roleDefinitionName = "Storage Blob Data Reader"
$userUpn = "<user UPN>"
$userObjectID = (Get-AzADUser -UserPrincipalName $userUpn).Id
$privateEndpointName = "privateendpoint1"
$scope = "/subscriptions/$subId/resourceGroups/$rgName/providers/Microsoft.Storage/storageAccounts/$storageAccountName"

$condition = `
"( `
 ( `
  !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'}) `
 ) `
 OR `
 ( `
  ( `
   @Principal[Microsoft.Directory/CustomSecurityAttributes/Id:sensitivity] StringEqualsIgnoreCase @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] `
   AND `
   @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/$subid/resourceGroups/$rgname/providers/Microsoft.Network/privateEndpoints/$privateEndpointName' `
  ) `
  OR `
  @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:sensitivity<`$key_case_sensitive`$>] StringNotEquals 'high' `
 ) `
)"

$testRa = Get-AzRoleAssignment -Scope $scope -RoleDefinitionName $roleDefinitionName -ObjectId $userObjectID
$testRa.Condition = $condition
$testRa.ConditionVersion = "2.0"
Set-AzRoleAssignment -InputObject $testRa -PassThru

次の方法で共有

Blob Storage の Azure ロールの割り当て条件の例

[前提条件]

この記事の例の概要

BLOB インデックス タグ

例: BLOB インデックス タグを使用して BLOB を読み取る

例: 新しい BLOB には BLOB インデックス タグを含める必要がある

例: 既存の BLOB には BLOB インデックス タグ キーが必要

例: 既存の BLOB には、BLOB インデックス タグのキーと値が必要です

BLOB コンテナーの名前またはパス

例: 名前付きコンテナー内の BLOB の読み取り、書き込み、または削除

例: パスを使用して名前付きコンテナー内の BLOB を読み取る

例: パスを持つ名前付きコンテナー内の BLOB の読み取りまたは一覧表示

例: パスを使用して名前付きコンテナーに BLOB を書き込む

例: BLOB インデックス タグとパスを使用して BLOB を読み取る

BLOB コンテナーのメタデータ

例: 特定のメタデータを使用してコンテナー内の BLOB を読み取る

例: 特定のメタデータを含むコンテナー内の BLOB を書き込むまたは削除する

BLOB のバージョンまたは BLOB のスナップショット

例: 現在の BLOB バージョンのみを読み取る

例: 現在の BLOB バージョンと特定の BLOB バージョンを読み取る

例: 古い BLOB バージョンを削除する

例: 現在の BLOB バージョンと BLOB スナップショットを読み取る

例: BLOB メタデータ、スナップショット、またはバージョンを含めるリスト BLOB 操作を許可する

例: BLOB のリスト操作に BLOB メタデータを含めないように制限する

階層型名前空間

例: 階層型名前空間が有効になっている読み取り専用のストレージ アカウント

暗号化スコープ

例: 特定の暗号化スコープを持つ BLOB を読み取る

例: 特定の暗号化スコープを持つ名前付きストレージ アカウント内の BLOB の読み取りまたは書き込み

プリンシパル属性

例: BLOB インデックス タグとカスタム セキュリティ属性に基づく BLOB の読み取りまたは書き込み

例: BLOB インデックス タグと複数値のカスタム セキュリティ属性に基づいて BLOB を読み取る

環境属性

例: 特定の日時より後の BLOB への読み取りアクセスを許可する

アクションを追加する

式の作成

例: 特定のサブネットから特定のコンテナー内の BLOB へのアクセスを許可する

アクションを追加する

式の作成

例: 秘密度の高い BLOB を読み取るためにプライベート リンク アクセスを要求する

アクションを追加する

式の作成

例: 特定のプライベート エンドポイントからのみコンテナーへのアクセスを許可する

アクションを追加する

式の作成

例: 機密性の高い BLOB データへの読み取りアクセスを特定のプライベート エンドポイントからのみ許可し、アクセス用にタグ付けされたユーザーが許可する

アクションを追加する

式の作成

次のステップ

フィードバック

その他のリソース

BLOB インデックスタグ

例: BLOB インデックスタグを使用して BLOB を読み取る

例: 新しい BLOB には BLOB インデックスタグを含める必要がある

例: 既存の BLOB には BLOB インデックスタグキーが必要

例: 既存の BLOB には、BLOB インデックスタグのキーと値が必要です

例: BLOB インデックスタグとパスを使用して BLOB を読み取る

例: 階層型名前空間が有効になっている読み取り専用のストレージアカウント

例: 特定の暗号化スコープを持つ名前付きストレージアカウント内の BLOB の読み取りまたは書き込み

例: BLOB インデックスタグとカスタムセキュリティ属性に基づく BLOB の読み取りまたは書き込み

例: BLOB インデックスタグと複数値のカスタムセキュリティ属性に基づいて BLOB を読み取る

例: 秘密度の高い BLOB を読み取るためにプライベートリンクアクセスを要求する

例: 特定のプライベートエンドポイントからのみコンテナーへのアクセスを許可する

例: 機密性の高い BLOB データへの読み取りアクセスを特定のプライベートエンドポイントからのみ許可し、アクセス用にタグ付けされたユーザーが許可する