Azure 队列存储的 Azure 角色分配条件的操作和属性
本文介绍了支持的属性字典,可在每个 Azure 存储 DataAction 的 Azure 角色分配条件中使用。 有关特定权限或 DataAction 影响的队列服务操作列表,请参阅队列服务操作的权限。
若要了解角色分配条件格式,请参阅 Azure 角色分配条件格式和语法
重要
Azure 基于属性的访问控制 (Azure ABAC) 已正式发布 (GA),用于使用标准和高级存储帐户性能层中的 request
、resource
、environment
和 principal
属性控制对 Azure Blob 存储、Azure Data Lake Storage Gen2 和 Azure 队列的访问。 目前,“容器元数据”资源属性和“列出 Blob 操作的所含内容”请求属性处于预览状态。 有关 Azure 存储 ABAC 的完整功能状态信息,请参阅 Azure 存储中条件功能的状态。
有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款。
Azure 队列存储操作
本部分列出了可在条件中指定为目标的受支持 Azure 队列存储操作。
存储帐户支持以下操作:
显示名称 | DataAction |
---|---|
速览消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
放置消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
放置或更新消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
清除消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
获取或删除消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
速览消息
属性 | 值 |
---|---|
显示名称 | 速览消息 |
说明 | 用于速览消息的 DataAction。 |
DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
资源属性 | 帐户名称 队列名称 |
请求属性 | |
主体属性支持 | 正确 |
放置消息
属性 | 值 |
---|---|
显示名称 | 放置消息 |
说明 | 用于放置消息的 DataAction。 |
DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
资源属性 | 帐户名称 队列名称 |
请求属性 | |
主体属性支持 | 正确 |
放置或更新消息
属性 | 值 |
---|---|
显示名称 | 放置或更新消息 |
说明 | 用于放置或更新消息的 DataAction。 |
DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
资源属性 | 帐户名称 队列名称 |
请求属性 | |
主体属性支持 | 正确 |
清除消息
属性 | 值 |
---|---|
显示名称 | 清除消息 |
说明 | 用于清除消息的 DataAction。 |
DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
资源属性 | 帐户名称 队列名称 |
请求属性 | |
主体属性支持 | 正确 |
获取或删除消息
属性 | 值 |
---|---|
显示名称 | 获取或删除消息 |
说明 | 用于获取或删除消息的 DataAction。 |
DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
资源属性 | 帐户名称 队列名称 |
请求属性 | |
主体属性支持 | 正确 |
Azure 队列存储属性
本部分列出了可在条件表达式中根据目标操作使用的 Azure 队列存储属性。 如果为单个条件选择多个操作,则可为条件选择的特性可能较少,因为这些特性必须在所有选定的操作中可用。
注意
除非另有说明,否则列出的属性和值视为不区分大小写。
下表按源汇总了可用属性:
属性源 | Display name | 说明 |
---|---|---|
环境 | ||
是专用链接 | 访问是否通过专用链接进行 | |
专用终结点 | 用于访问对象的专用终结点 | |
子网 | 用于访问对象的子网 | |
现在 (UTC) | 协调世界时的当前日期和时间 | |
资源 | ||
帐户名称 | 存储帐户名称 | |
队列名称 | 存储队列名称 |
帐户名
属性 | 值 |
---|---|
显示名称 | 帐户名 |
说明 | 存储帐户的名称。 |
Attribute | Microsoft.Storage/storageAccounts:name |
特性源 | 资源 |
属性类型 | String |
示例 | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount' |
是专用链接
属性 | 值 |
---|---|
显示名称 | 是专用链接 |
说明 | 访问是否通过专用链接进行。 用于要求通过任何专用终结点进行访问。 |
Attribute | isPrivateLink |
特性源 | 环境 |
属性类型 | 布尔值 |
示例 | @Environment[isPrivateLink] BoolEquals true 示例:需要专用链接访问权限才能读取具有高敏感度的 Blob |
了解详细信息 | 为 Azure 存储使用专用终结点 |
专用终结点
属性 | 值 |
---|---|
显示名称 | 专用终结点 |
说明 | 用于访问对象的专用终结点。 用于限制通过特定专用终结点的访问。 仅适用于订阅中至少配置了一个专用终结点的存储帐户。 |
Attribute | Microsoft.Network/privateEndpoints |
特性源 | 环境 |
属性类型 | 字符串 |
示例 | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1' 示例:仅允许从特定专用终结点对容器进行读取访问 |
了解详细信息 | 为 Azure 存储使用专用终结点 |
队列名称
属性 | 值 |
---|---|
显示名称 | 队列名称 |
说明 | 存储队列的名称。 |
Attribute | Microsoft.Storage/storageAccounts/queueServices/queues:name |
特性源 | 资源 |
属性类型 | 字符串 |
子网
属性 | 值 |
---|---|
显示名称 | 子网 |
说明 | 用于访问对象的子网。 用于限制对特定子网的访问。 仅适用于订阅中至少配置了一个虚拟网络子网的存储帐户。 |
Attribute | Microsoft.Network/virtualNetworks/subnets |
特性源 | 环境 |
属性类型 | 字符串 |
示例 | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default' 示例:允许从特定子网访问特定容器中的 Blob |
了解详细信息 | 子网 |
现在 (UTC)
属性 | 值 |
---|---|
显示名称 | 现在 (UTC) |
说明 | 协调世界时的当前日期和时间。 用于控制特定日期和时间段内对对象的访问。 |
Attribute | UtcNow |
特性源 | 环境 |
属性类型 | DateTime (UTC now 属性仅支持运算符 DateTimeGreaterThan 和 DateTimeLessThan。) |
示例 | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z' 示例:允许在特定日期和时间之后对 Blob 进行读取访问 |