Nastavení zásad neměnnosti objektů blob

Operace Set Blob Immutability Policy nastaví zásady neměnnosti objektu blob. Tato operace neaktualizuje značku ETag objektu blob. Toto rozhraní API je k dispozici od verze 2020-06-12.

Žádost

Požadavek Set Blob Immutability Policy může být vytvořen následujícím způsobem. Doporučujeme použít https. Nahraďte myaccount názvem vašeho účtu úložiště a myblob názvem objektu blob, pro který se mají změnit zásady neměnnosti.

Metoda	Identifikátor URI žádosti	Verze PROTOKOLU HTTP
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Parametry identifikátoru URI

V identifikátoru URI požadavku můžete zadat následující další parametry:

Parametr	Popis
snapshot	Nepovinný parametr. Parametr snapshot je neprůselná DateTime hodnota, která při jeho přítomnosti určuje snímek objektu blob, na který se má nastavit úroveň. Další informace o práci se snímky objektů blob najdete v tématu Create snímku objektu blob.
versionid	Volitelné pro verzi 2019-12-12 a novější. Parametr versionid je neprůselná DateTime hodnota, která když je k dispozici, určuje verzi objektu blob, na které se má nastavit úroveň.
timeout	Nepovinný parametr. Parametr timeout je vyjádřen v sekundách. Další informace najdete v tématu Nastavení časových limitů pro operace služby Blob Storage.

Hlavičky požadavku

Požadované a volitelné hlavičky požadavků jsou popsané v následující tabulce:

Hlavička požadavku	Popis
Authorization	Povinná hodnota. Určuje schéma autorizace, název účtu úložiště a podpis. Další informace najdete v tématu Autorizace požadavků do služby Azure Storage.
Date nebo x-ms-date	Povinná hodnota. Určuje formát UTC (Coordinated Universal Time). Další informace najdete v tématu Autorizace požadavků do služby Azure Storage.
x-ms-immutability-policy-until-date	Povinná hodnota. Označuje uchovávání do data, které se má nastavit v objektu blob. Toto je datum, do kterého je možné objekt blob chránit před úpravami nebo odstraněním. Pro úložiště objektů blob nebo účet pro obecné účely v2 jsou platné hodnoty ve formátu RFC1123. Minulé časy nejsou platné.
x-ms-immutability-policy-mode	Nepovinný parametr. Pokud není zadán, výchozí hodnota je Unlocked. Označuje režim zásad neměnnosti, který se má nastavit v objektu blob. Platné hodnoty pro úložiště objektů blob nebo účet pro obecné účely verze 2 jsou Unlocked/Locked. unlocked označuje, že uživatel může zásadu změnit zvýšením nebo snížením doby uchovávání do data. locked označuje, že tyto akce jsou zakázány.
x-ms-version	Povinné pro všechny autorizované žádosti. Určuje verzi operace, která se má použít pro tento požadavek. Další informace najdete v tématu Správa verzí pro služby Azure Storage.
x-ms-client-request-id	Nepovinný parametr. Poskytuje klientem vygenerovanou neprůselnou hodnotu s limitem počtu znaků 1 kibibajt (KiB), který je zaznamenán v protokolech při konfiguraci protokolování. Důrazně doporučujeme použít tuto hlavičku ke korelaci aktivit na straně klienta s požadavky, které server přijímá. Další informace najdete v tématu Monitorování Azure Blob Storage.

Tato operace také podporuje použití podmíněných hlaviček k nastavení objektu blob pouze v případě, že je splněna zadaná podmínka. Další informace najdete v tématu Určení podmíněných hlaviček pro operace služby Blob Storage.

Text požadavku

Žádné

Odpověď

Odpověď obsahuje stavový kód HTTP a sadu hlaviček odpovědi.

Stavový kód

Úspěšná operace vrátí stavový kód 200 (OK).

Informace o stavových kódech najdete v tématu Stavové kódy a kódy chyb.

Hlavičky odpovědi

Odpověď na tuto operaci obsahuje následující hlavičky. Odpověď může také obsahovat další standardní hlavičky HTTP. Všechny standardní hlavičky odpovídají specifikaci protokolu HTTP/1.1.

Hlavička odpovědi	Description
x-ms-request-id	Jedinečně identifikuje požadavek, který byl proveden, a lze ho použít k řešení potíží s požadavkem. Další informace najdete v tématu Řešení potíží s operacemi rozhraní API.
x-ms-version	Označuje verzi služby Blob Storage, která se použila ke spuštění požadavku. Vráceno pro požadavky provedené ve verzi 2009-09-19 a novější.
x-ms-client-request-id	Dá se použít k řešení potíží s požadavky a odpovídajícími odpověďmi. Hodnota této hlavičky se rovná hodnotě x-ms-client-request-id hlavičky, pokud je v požadavku, a hodnota neobsahuje více než 1 024 viditelných znaků ASCII. Pokud hlavička x-ms-client-request-id v požadavku není, nebude v odpovědi.
x-ms-immutability-policy-until-date	Označuje datum uchovávání dat , které se má nastavit v objektu blob. Toto je datum, do kterého je možné objekt blob chránit před úpravami nebo odstraněním.
x-ms-immutability-policy-mode	Označuje režim zásad neměnnosti nastavený v objektu blob. Hodnoty jsou unlocked a locked. Hodnotaunlocked označuje, že uživatel může změnit zásadu zvýšením nebo snížením data uchování do doby, a locked označuje, že tyto akce jsou zakázány.

Autorizace

Při volání jakékoli operace přístupu k datům ve službě Azure Storage se vyžaduje autorizace. Operaci můžete autorizovat, Set Blob Immutability Policy jak je popsáno níže.

Důležité

Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků do služby Azure Storage. Microsoft Entra ID ve srovnání s autorizací sdíleného klíče poskytuje vynikající zabezpečení a snadné použití.

Microsoft Entra ID (doporučeno)

Azure Storage podporuje autorizaci požadavků na data objektů blob pomocí Microsoft Entra ID. S Microsoft Entra ID můžete pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělit oprávnění k objektu zabezpečení. Objektem zabezpečení může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita Azure. Objekt zabezpečení je ověřen Microsoft Entra ID, aby vrátil token OAuth 2.0. Token se pak dá použít k autorizaci požadavku na službu Blob Service.

Další informace o autorizaci pomocí Microsoft Entra ID najdete v tématu Autorizace přístupu k objektům blob pomocí Microsoft Entra ID.

Oprávnění

Níže jsou uvedené akce RBAC potřebné k volání operace Microsoft Entra uživatele, skupiny, spravované identity nebo instančního objektu Set Blob Immutability Policy a nejméně privilegované integrované role Azure RBAC, která zahrnuje tuto akci:

• Akce Azure RBAC:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
• Předdefinovaná role s nejnižšími oprávněními:Vlastník dat v objektech blob služby Storage

Další informace o přiřazování rolí pomocí Azure RBAC najdete v tématu Přiřazení role Azure pro přístup k datům objektů blob.

Sdílené přístupové podpisy (SAS)

Sdílený přístupový podpis (SAS) poskytuje zabezpečený delegovaný přístup k prostředkům v účtu úložiště. V případě sdíleného přístupového podpisu máte podrobnou kontrolu nad tím, jak může klient přistupovat k datům. Můžete určit, k jakému prostředku může klient přistupovat, jaká oprávnění k těmto prostředkům má a jak dlouho je sas platný.

Operace Set Blob Immutability Policy podporuje tři typy sdílených přístupových podpisů: SAS delegování uživatele, SAS služby a SAS účtu.

Jako osvědčený postup zabezpečení doporučujeme používat přihlašovací údaje Microsoft Entra místo klíče účtu úložiště, který může být snadněji ohrožen. Pokud návrh aplikace vyžaduje sdílené přístupové podpisy, pokud je to možné, použijte k vytvoření SAS delegování uživatele Microsoft Entra přihlašovací údaje.

Pokud je pro účet úložiště zakázaný přístup ke sdílenému klíči, token SAS služby nebo token SAS účtu nebudou v požadavku na službu Blob Storage povoleny. Další informace najdete v tématu Vysvětlení, jak zakázání sdíleného klíče ovlivňuje tokeny SAS.

SAS delegování uživatele

SAS delegování uživatele je zabezpečeno Microsoft Entra přihlašovacími údaji a také oprávněními zadanými pro SAS.

Set Blob Immutability Policy Volání operace pomocí tokenu SAS delegovaného na prostředek kontejneru nebo objektu blob vyžaduje oprávnění Immutable Storage (i) jako součást tokenu SAS delegování uživatele.

Další informace o SAS delegování uživatele najdete v tématu Create SAS delegování uživatele.

Sas služby

Sdílený přístupový podpis služby je zabezpečený pomocí klíče účtu úložiště. SAS služby deleguje přístup k prostředku v jedné službě Azure Storage, jako je úložiště objektů blob.

Set Blob Immutability Policy Volání operace pomocí tokenu SAS delegovaného na prostředek kontejneru nebo objektu blob vyžaduje oprávnění Immutable Storage (i) jako součást tokenu SAS služby.

Další informace o SAS služby najdete v tématu Create SAS služby.

Sas účtu

SAS účtu je zabezpečené pomocí klíče účtu úložiště. SAS účtu deleguje přístup k prostředkům v jedné nebo více službách úložiště. Všechny operace dostupné prostřednictvím sdíleného přístupového podpisu pro delegování služby nebo uživatele jsou dostupné také prostřednictvím sdíleného přístupového podpisu účtu.

Následující tabulka uvádí typ podepsaného prostředku a podepsaná oprávnění, která se mají zadat při delegování přístupu:

Operace	Podepsaná služba	Podepsaný typ prostředku	Podepsané oprávnění
Nastavení zásad neměnnosti objektů blob	Objekt blob (b)	Objekt (o)	Neměnné úložiště (i)

Další informace o SAS účtu najdete v tématu Create SAS účtu.

Sdílený klíč

Operace Set Blob Immutability Policy podporuje autorizaci sdíleného klíče. Autorizace pomocí klíčů účtu se ve většině scénářů nedoporučuje, protože je méně bezpečná.

Microsoft doporučuje zakázat autorizaci sdíleného klíče pro účet úložiště, pokud je to možné. Další informace najdete v tématu Zabránění autorizaci pomocí sdíleného klíče.

Poznámky

Nastavení zásad neměnnosti objektu blob ve službě Blob Storage nebo účtu pro obecné účely verze 2 má následující omezení:

• Nastavení zásad neměnnosti u snímku nebo verze je povolené od verze REST 2020-06-12.
• Když jsou zásady neměnnosti v unlocked režimu, můžou uživatelé aktualizovat uchovávání do data. Když jsou zásady neměnnosti v locked režimu, uživatelé můžou uchovávání prodloužit jenom do data. Režim zásad neměnnosti je možné změnit z unlocked na locked, ale ne z locked na unlocked.
• Pokud jsou v objektu blob zásady neměnnosti a pro kontejner nebo účet existují také výchozí zásady neměnnosti, mají zásady neměnnosti objektu blob přednost.
• U zásad PutBlockList/PutBlob/CopyBlob neměnnosti na úrovni objektů blob jsou operace povolené, protože tyto operace generují novou verzi.
• Když je zásada neměnnosti v unlocked režimu, uživatelé můžou tyto zásady neměnnosti odstranit pomocí následujícího rozhraní API:

Metoda	Identifikátor URI žádosti	Verze PROTOKOLU HTTP
Delete	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Poznámka

Další informace najdete v tématu Neměnné úložiště.

Fakturace

Požadavky na ceny můžou pocházet od klientů, kteří používají rozhraní API služby Blob Storage, a to buď přímo prostřednictvím rozhraní REST API služby Blob Storage, nebo z klientské knihovny služby Azure Storage. Za tyto žádosti se účtují poplatky za každou transakci. Typ transakce ovlivňuje způsob účtování za účet. Například transakce čtení se načítají do jiné kategorie fakturace než transakce zápisu. Následující tabulka uvádí kategorii fakturace pro Set Blob Immutability Policy žádosti založené na typu účtu úložiště:

Operace	Typ účtu úložiště	Kategorie fakturace
Nastavení zásad neměnnosti objektů blob	Objekt blob bloku úrovně Premium Standard pro obecné účely v2 Standard pro obecné účely v1	Další operace

Informace o cenách pro zadanou kategorii fakturace najdete v tématu Azure Blob Storage Ceny.

Viz také

Autorizace požadavků do Služby Azure Storage
Stavové kódy a kódy chyb
Kódy chyb služby Blob Storage
Nastavení časových limitů pro operace služby Blob Storage