Doplňovací pečeť objektů blob

Účelem Append Blob Seal operace je umožnit uživatelům a aplikacím zapečetit doplňovací objekty blob a označit je jako jen pro čtení. Tento dokument popisuje navrhované specifikace rozhraní REST API pro tuto funkci.

Žádost

Požadavek můžete vytvořit Append Blob Seal následujícím způsobem. Doporučuje se https. Nahraďte myaccount názvem vašeho účtu úložiště.

Identifikátor URI požadavku metody PUT	Verze PROTOKOLU HTTP
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

Hlavičky

Append Blob Sealvrátí běžné hlavičky ETag/LMT rozhraní API (čas poslední změny), x-ms-request-id, x-ms-version, content-lengtha .Date Append Blob Sealnezmění .ETag/LMT

Hlavička odpovědi	Hodnota	Popis
x-ms-blob-sealed	true/false	Nepovinný parametr. Ve výchozím nastavení nepravda. Pokud je objekt blob zapečetěný, je tato hlavička součástí odpovědi, když zapečetíte a získáte vlastnosti objektu blob. Tato hlavička by se měla zobrazit v GetBlobpolích , GetBlobProperties, AppendBlobSeala ListBlobs pro doplňovací objekty blob.

Parametry dotazů

Žádné další parametry identifikátoru URI.

Text požadavku

Žádné

Odpověď

Odpověď obsahuje stavový kód HTTP a seznam hlaviček odpovědi.

Stavový kód

Může se zobrazit některý z následujících stavových kódů:

• 200 (úspěch): Objekt blob je zapečetěný. Volání je idempotentní a bude úspěšné, pokud už je objekt blob zapečetěný.

• 409 (InvalidBlobType): Služba vrátí tento stavový kód, pokud je volání v existujícím objektu blob stránky nebo objektu blob bloku.

• 404 (BlobNotFound): Služba vrátí tento stavový kód, pokud je volání na neexistující objekt blob.

Autorizace

Při volání jakékoli operace přístupu k datům ve službě Azure Storage se vyžaduje autorizace. Operaci můžete autorizovat, Append Blob Seal jak je popsáno níže.

Důležité

Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků do služby Azure Storage. Microsoft Entra ID ve srovnání s autorizací sdíleného klíče poskytuje vynikající zabezpečení a snadné použití.

Microsoft Entra ID (doporučeno)

Azure Storage podporuje autorizaci požadavků na data objektů blob pomocí Microsoft Entra ID. S Microsoft Entra ID můžete pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělit oprávnění k objektu zabezpečení. Objektem zabezpečení může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita Azure. Objekt zabezpečení je ověřen Microsoft Entra ID, aby vrátil token OAuth 2.0. Token se pak dá použít k autorizaci požadavku na službu Blob Service.

Další informace o autorizaci pomocí Microsoft Entra ID najdete v tématu Autorizace přístupu k objektům blob pomocí Microsoft Entra ID.

Oprávnění

Níže jsou uvedené akce RBAC potřebné k volání operace Microsoft Entra uživatele, skupiny, spravované identity nebo instančního objektu Append Blob Seal a nejméně privilegované integrované role Azure RBAC, která zahrnuje tuto akci:

• Akce Azure RBAC:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Nejméně privilegovaná předdefinovaná role:Přispěvatel dat v objektech blob služby Storage

Další informace o přiřazování rolí pomocí Azure RBAC najdete v tématu Přiřazení role Azure pro přístup k datům objektů blob.

Sdílené přístupové podpisy (SAS)

Sdílený přístupový podpis (SAS) poskytuje zabezpečený delegovaný přístup k prostředkům v účtu úložiště. V případě SAS máte podrobnou kontrolu nad tím, jak může klient přistupovat k datům. Můžete určit, k jakému prostředku může klient přistupovat, jaká oprávnění k těmto prostředkům má a jak dlouho je sas platný.

Operace Append Blob Seal podporuje tři typy sdílených přístupových podpisů: SAS delegování uživatele, SAS služby a SAS účtu.

Jako osvědčený postup zabezpečení doporučujeme používat přihlašovací údaje Microsoft Entra místo klíče účtu úložiště, který může být snadněji ohrožen. Pokud návrh aplikace vyžaduje sdílené přístupové podpisy, použijte přihlašovací údaje Microsoft Entra k vytvoření SAS delegování uživatele, pokud je to možné.

Pokud je přístup ke sdílenému klíči pro účet úložiště zakázaný, token SAS služby nebo token SAS účtu nebude na žádost do služby Blob Storage povolený. Další informace najdete v tématu Vysvětlení, jak zakázání sdíleného klíče ovlivňuje tokeny SAS.

SAS delegování uživatele

SAS delegování uživatele je zabezpečeno Microsoft Entra přihlašovacími údaji a také oprávněními zadanými pro SAS.

Append Blob Seal Volání operace pomocí tokenu SAS delegovaného na prostředek kontejneru nebo objektu blob vyžaduje oprávnění k zápisu (w) v rámci tokenu SAS delegování uživatele.

Další informace o SAS delegování uživatele najdete v tématu Create SAS delegování uživatele.

Sas služby

Sas služby je zabezpečený pomocí klíče účtu úložiště. Sas služby deleguje přístup k prostředku v jedné službě Azure Storage, jako je úložiště objektů blob.

Append Blob Seal Volání operace pomocí tokenu SAS delegovaného na prostředek kontejneru nebo objektu blob vyžaduje oprávnění k zápisu (w) jako součást tokenu SAS služby.

Další informace o SAS služby najdete v tématu Create SAS služby.

Sas účtu

SAS účtu je zabezpečené pomocí klíče účtu úložiště. SAS účtu deleguje přístup k prostředkům v jedné nebo více službách úložiště. Všechny operace dostupné prostřednictvím sas pro službu nebo delegování uživatele jsou dostupné také prostřednictvím SAS účtu.

Následující tabulka uvádí typ podepsaného prostředku a podepsaná oprávnění, která se mají zadat při delegování přístupu:

Operace	Podepsaná služba	Typ podepsaného prostředku	Podepsané oprávnění
Doplňovací pečeť objektů blob	Objekt blob (b)	Objekt (o)	Zápis (w)

Další informace o SAS účtu najdete v tématu Create SAS účtu.

Sdílený klíč

Operace Append Blob Seal podporuje autorizaci sdíleného klíče. Autorizace pomocí klíčů účtu se ve většině scénářů nedoporučuje, protože je méně bezpečná.

Microsoft doporučuje zakázat autorizaci sdíleného klíče pro účet úložiště, pokud je to možné. Další informace najdete v tématu Zabránění autorizaci pomocí sdíleného klíče.

Poznámky

Pokud má doplňovací objekt blob zapůjčení, potřebujete k zapečetění objektu blob ID zapůjčení.

Po zapečetění objektu blob můžete aktualizovat vlastnosti, značky indexu objektů blob a metadata. Obnovitelné odstranění zapečetěného objektu blob zachová zapečetěný stav. Zapečetěné objekty blob můžete přepsat.  

Pokud pořídíte snímek zapečetěného objektu blob, snímek obsahuje zapečetěný příznak. Pro existující snímky v nové verzi vrátí Microsoft vlastnost.

Při kopírování zapečetěného objektu blob se ve výchozím nastavení rozšíří příznak zapečetěného objektu blob. Je vystavena hlavička, která umožňuje přepsání příznaku.

Do odpovědi se přidá ListBlob nový element XML s názvem Sealed. Hodnota může být true nebo false.

Pokud voláte AppendBlock objekt blob, který je už zapečetěný, vrátí služba chybovou zprávu zobrazenou v následující tabulce. To platí pro starší verze rozhraní API.

Kód chyby	Stavový kód HTTP	Zpráva uživatele
BlobIsSealed	Konflikt (409)	Zadaný objekt blob je zapečetěný a jeho obsah nelze změnit, dokud se objekt blob po odstranění znovu nevytvořil.

Pokud zavoláte Append Blob Seal doplňovací objekt blob, který už je zapečetěný, jednoduše se zobrazí stavový kód 200 (Úspěch).

Fakturace

Žádosti o ceny můžou pocházet od klientů, kteří používají rozhraní BLOB Storage API, a to buď přímo prostřednictvím rozhraní REST API služby Blob Storage, nebo z klientské knihovny Služby Azure Storage. Tyto požadavky načítají poplatky za transakci. Typ transakce ovlivňuje způsob účtování poplatku za účet. Například transakce čtení se načítají do jiné kategorie fakturace než transakce zápisu. Následující tabulka ukazuje kategorii fakturace pro Append Blob Seal žádosti založené na typu účtu úložiště:

Operace	Typ účtu úložiště	Kategorie fakturace
Doplňovací pečeť objektů blob	Objekt blob bloku úrovně Premium Standard pro obecné účely v2 Standard pro obecné účely v1	Operace zápisu

Informace o cenách pro zadanou kategorii fakturace najdete v tématu Azure Blob Storage Ceny.

Viz také

kódy chyb Azure Blob Storage