あなたは、blob1 という名前の Azure Blob ストレージアカウントを含む Azure サブスクリプションを所有しています。
blob1 に対して 属性ベースのアクセス制御 (ABAC) を構成する必要があります。
アクセス条件(Access conditions)で使用できる属性はどれですか?
正解:B
Azure の ABAC(Azure Role-Based Access Control の条件)において、ストレージアカウントのリソース属性として使用できるものは決まっています。
BLOB インデックスタグ (Blob index tags): これが ABAC のメインとなる属性です。BLOB に付与された
Project=AlphaやStatus=Privateといったタグを条件にして、「このタグを持つユーザーだけが、同じタグを持つ BLOB にアクセスできる」といった制御が可能です。コンテナ名 (Container names): リソースパスの一部として、コンテナ名を条件に含めることができます。
ファイル拡張子は使用不可: 「ファイル拡張子」という属性は、Azure Storage の ABAC 条件で直接選択できる標準的な属性(キー)としては存在しません。拡張子による制限をかけたい場合は、インデックスタグに拡張子の情報を入れるなどの工夫が必要になります。
補足:ABAC で使える主な属性
ABAC の条件式では、以下の 3 つのカテゴリの属性を組み合わせて使用します。
要求(Request): 操作の種類(Read, Write など)
リソース(Resource): コンテナ名、BLOB インデックスタグ
プリンシパル(Principal): ユーザーのカスタムセキュリティ属性(Entra ID の属性)
コメント