この記事では、Azure ロールの割り当て条件で使用できるサポートされている属性ディクショナリについて、Azure Storage の DataAction ごとに説明します。 特定のアクセス許可または DataAction が影響する Queue サービス操作リストについては、Queue サービス操作のアクセス許可に関するセクションをご覧ください。
ロールの割り当て条件の形式については、「Azure ロールの割り当て条件の形式と構文」をご覧ください。
重要
Azure 属性ベースのアクセス制御 (Azure ABAC) は、ストレージ アカウントの Standard と Premium 両方のパフォーマンス レベルで、request、resource、environment、principal を使用して Azure Blob Storage、Azure Data Lake Storage Gen2、Azure キューへのアクセスを制御するために一般提供 (GA) されています。 現在、リスト BLOB には要求属性が含まれており、階層型名前空間のスナップショット要求属性はプレビュー段階です。 Azure Storage の ABAC の完全な機能状態情報については、「Azure Storage の条件機能の状態」を参照してください。
ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Azure Queue Storage のアクション
このセクションでは、条件の対象として使用できる、サポートされている Azure Queue Storage のアクションのリストを示します。
ストレージ アカウントでサポートされるアクションは次のとおりです。
| Display name | DataAction |
|---|---|
| メッセージをクイック表示する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| メッセージを配置する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| メッセージを配置または更新する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| メッセージをクリアする | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| メッセージを取得または削除する | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
メッセージをクイック表示する
| プロパティ | 値 |
|---|---|
| 表示名 | メッセージをクイック表示する |
| 説明 | メッセージをクイック表示するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | True |
メッセージを追加する
| プロパティ | 値 |
|---|---|
| 表示名 | メッセージを追加する |
| 説明 | メッセージを追加するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | True |
メッセージを追加または更新する
| プロパティ | 値 |
|---|---|
| 表示名 | メッセージを追加または更新する |
| 説明 | メッセージを追加または更新するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | True |
メッセージをクリアする
| プロパティ | 値 |
|---|---|
| 表示名 | メッセージをクリアする |
| 説明 | メッセージをクリアするための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | True |
メッセージを取得または削除する
| プロパティ | 値 |
|---|---|
| 表示名 | メッセージを取得または削除する |
| 説明 | メッセージを取得または削除するための DataAction。 |
| DataAction | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action |
| リソース属性 | アカウント名 キュー名 |
| 要求属性 | |
| プリンシパル属性のサポート | True |
Azure Queue Storage の属性
このセクションでは、ターゲットとするアクションに応じて、条件式で使用できる Azure Queue Storage 属性の一覧を示します。 1 つの条件に対して複数のアクションを選択した場合、属性は、選択したすべてのアクションに対して使用できる必要があるため、その条件に対して選択できる属性の数は少なくなる場合があります。
注
表示されている属性と値は、特に明記されていない限り、大文字と小文字が区別されません。
次の表は、ソース別に使用可能な属性をまとめたものです。
| 属性ソース | Display name | 説明 |
|---|---|---|
| 環境 | ||
| プライベート リンク | アクセスがプライベート リンク経由であるかどうか | |
| プライベート エンドポイント | オブジェクトへのアクセスで経由するプライベート エンドポイント | |
| サブネット | オブジェクトへのアクセスで経由するサブネット | |
| UTC 現在 | 協定世界時による現在の日付と時刻 | |
| リソース | ||
| アカウント名 | ストレージ アカウント名 | |
| キュー名 | ストレージ キュー名 |
アカウント名
| プロパティ | 値 |
|---|---|
| 表示名 | アカウント名 |
| 説明 | ストレージ アカウントの名前。 |
| 属性 | Microsoft.Storage/storageAccounts:name |
| 属性ソース | リソース |
| 属性の種類 | 糸 |
| 使用例 | @Resource[Microsoft.Storage/storageAccounts:name] StringEquals 'sampleaccount' |
プライベート リンクかどうか
| プロパティ | 値 |
|---|---|
| 表示名 | プライベート リンクかどうか |
| 説明 | アクセスがプライベート リンク経由であるかどうか。 任意のプライベート エンドポイント経由のアクセスを要求するために使用します。 |
| 属性 | isPrivateLink |
| 属性ソース | 環境 |
| 属性の種類 | ブーリアン |
| 使用例 | @Environment[isPrivateLink] BoolEquals true例: 機密情報を含む BLOB を読み取るためにプライベート リンク アクセスを要求する |
| 詳細情報 | Azure Storage のプライベート エンドポイントを使用する |
プライベート エンドポイント
| プロパティ | 値 |
|---|---|
| 表示名 | プライベート エンドポイント |
| 説明 | オブジェクトへのアクセスで経由するプライベート エンドポイント。 特定のプライベート エンドポイント経由にアクセスを制限するために使用します。 少なくとも 1 つのプライベート エンドポイントが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Network/privateEndpoints |
| 属性ソース | 環境 |
| 属性の種類 | 文字列 |
| 使用例 | @Environment[Microsoft.Network/privateEndpoints] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/privateEndpoints/privateendpoint1'例: 特定のプライベート エンドポイントからのみコンテナーへの読み取りアクセスを許可する |
| 詳細情報 | Azure Storage のプライベート エンドポイントを使用する |
キュー名
| プロパティ | 値 |
|---|---|
| 表示名 | キュー名 |
| 説明 | ストレージ キューの名前。 |
| 属性 | Microsoft.Storage/storageAccounts/queueServices/queues:name |
| 属性ソース | リソース |
| 属性の種類 | 糸 |
Subnet
| プロパティ | 値 |
|---|---|
| 表示名 | Subnet |
| 説明 | オブジェクトへのアクセスで経由するサブネット。 特定のサブネットにアクセスを制限するために使用します。 少なくとも 1 つの仮想ネットワーク サブネットが構成されているサブスクリプションのストレージ アカウントでのみ使用できます。 |
| 属性 | Microsoft.Network/virtualNetworks/subnets |
| 属性ソース | 環境 |
| 属性の種類 | 文字列 |
| 使用例 | @Environment[Microsoft.Network/virtualNetworks/subnets] StringEqualsIgnoreCase '/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-group/providers/Microsoft.Network/virtualNetworks/virtualnetwork1/subnets/default'例: 特定のサブネットから特定のコンテナー内の BLOB へのアクセスを許可する |
| 詳細情報 | サブネット |
UTC 現在
| プロパティ | 値 |
|---|---|
| 表示名 | UTC 現在 |
| 説明 | 協定世界時による現在の日付と時刻。 特定の日付と期間のオブジェクトへのアクセスを制御するために使用します。 |
| 属性 | UtcNow |
| 属性ソース | 環境 |
| 属性の種類 | DateTime (DateTimeGreaterThanとDateTimeLessThan演算子のみが [UTC 現在] 属性でサポートされています)。 |
| 使用例 | @Environment[UtcNow] DateTimeGreaterThan '2023-05-01T13:00:00.0Z'例: 特定の日付と時刻の後に BLOB への読み取りアクセスを許可する |