Azure 队列存储的 Azure 角色分配条件的操作和属性

本文介绍了支持的属性字典,可在每个 Azure 存储 DataAction 的 Azure 角色分配条件中使用。 有关特定权限或 DataAction 影响的队列服务操作列表,请参阅队列服务操作的权限

若要了解角色分配条件格式,请参阅 Azure 角色分配条件格式和语法

重要

Azure 基于属性的访问控制 (Azure ABAC) 已正式发布 (GA),用于使用标准和高级存储帐户性能层中的 requestresourceenvironmentprincipal 属性控制对 Azure Blob 存储、Azure Data Lake Storage Gen2 和 Azure 队列的访问。 目前,“容器元数据”资源属性和“列出 Blob 操作的所含内容”请求属性处于预览状态。 有关 Azure 存储 ABAC 的完整功能状态信息,请参阅 Azure 存储中条件功能的状态

有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Azure 预览版的补充使用条款

Azure 队列存储操作

本部分列出了可在条件中指定为目标的受支持 Azure 队列存储操作。

存储帐户支持以下操作:

显示名称 DataAction
速览消息 Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
放置消息 Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action
放置或更新消息 Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
清除消息 Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
获取或删除消息 Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action

速览消息

属性
显示名称 速览消息
说明 用于速览消息的 DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
资源属性 帐户名称
队列名称
请求属性
主体属性支持 正确

放置消息

属性
显示名称 放置消息
说明 用于放置消息的 DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action
资源属性 帐户名称
队列名称
请求属性
主体属性支持 正确

放置或更新消息

属性
显示名称 放置或更新消息
说明 用于放置或更新消息的 DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
资源属性 帐户名称
队列名称
请求属性
主体属性支持 正确

清除消息

属性
显示名称 清除消息
说明 用于清除消息的 DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
资源属性 帐户名称
队列名称
请求属性
主体属性支持 正确

获取或删除消息

属性
显示名称 获取或删除消息
说明 用于获取或删除消息的 DataAction。
DataAction Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action
资源属性 帐户名称
队列名称
请求属性
主体属性支持 正确

Azure 队列存储属性

本部分列出了可在条件表达式中根据目标操作使用的 Azure 队列存储属性。 如果为单个条件选择多个操作,则可为条件选择的特性可能较少,因为这些特性必须在所有选定的操作中可用。

注意

除非另有说明,否则列出的属性和值视为不区分大小写。

下表按源汇总了可用属性:

属性源 Display name 说明
环境
是专用链接 访问是否通过专用链接进行
专用终结点 用于访问对象的专用终结点
子网 用于访问对象的子网
现在 (UTC) 协调世界时的当前日期和时间
资源
帐户名称 存储帐户名称
队列名称 存储队列名称

帐户名

属性
显示名称 帐户名
说明 存储帐户的名称。
Attribute Microsoft.Storage/storageAccounts:name
特性源 资源
属性类型 String
示例 @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount'
属性
显示名称 是专用链接
说明 访问是否通过专用链接进行。
用于要求通过任何专用终结点进行访问。
Attribute isPrivateLink
特性源 环境
属性类型 布尔值
示例 @Environment[isPrivateLink] BoolEquals true
示例:需要专用链接访问权限才能读取具有高敏感度的 Blob
了解详细信息 为 Azure 存储使用专用终结点

专用终结点

属性
显示名称 专用终结点
说明 用于访问对象的专用终结点。
用于限制通过特定专用终结点的访问。
仅适用于订阅中至少配置了一个专用终结点的存储帐户。
Attribute Microsoft.Network/privateEndpoints
特性源 环境
属性类型 字符串
示例 @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'
示例:仅允许从特定专用终结点对容器进行读取访问
了解详细信息 为 Azure 存储使用专用终结点

队列名称

属性
显示名称 队列名称
说明 存储队列的名称。
Attribute Microsoft.Storage/storageAccounts/queueServices/queues:name
特性源 资源
属性类型 字符串

子网

属性
显示名称 子网
说明 用于访问对象的子网。
用于限制对特定子网的访问。
仅适用于订阅中至少配置了一个虚拟网络子网的存储帐户。
Attribute Microsoft.Network/virtualNetworks/subnets
特性源 环境
属性类型 字符串
示例 @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'
示例:允许从特定子网访问特定容器中的 Blob
了解详细信息 子网

现在 (UTC)

属性
显示名称 现在 (UTC)
说明 协调世界时的当前日期和时间。
用于控制特定日期和时间段内对对象的访问。
Attribute UtcNow
特性源 环境
属性类型 DateTime
(UTC now 属性仅支持运算符 DateTimeGreaterThan 和 DateTimeLessThan。
示例 @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'
示例:允许在特定日期和时间之后对 Blob 进行读取访问

另请参阅