Nastavení blokování z právních důvodů objektu blob

Operace Set Blob Legal Hold nastaví blokování objektu blob z právních důvodů. Tato operace neaktualizuje značku ETag objektu blob. Toto rozhraní API je k dispozici od verze 2020-04-08.

Žádost

Požadavek Set Blob Legal Hold může být vytvořen následujícím způsobem. Doporučujeme použít https. Nahraďte myaccount názvem vašeho účtu úložiště a myblob názvem objektu blob, pro který se má změnit blokování z právních důvodů.

Metoda	Identifikátor URI žádosti	Verze PROTOKOLU HTTP
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=legalhold	HTTP/1.1

Parametry identifikátoru URI

V identifikátoru URI požadavku můžete zadat následující další parametry:

Parametr	Popis
snapshot	Nepovinný parametr. Parametr snapshot je neprůselná DateTime hodnota, která pokud je k dispozici, určuje snímek objektu blob, na který se má nastavit úroveň. Další informace o práci se snímky objektů blob najdete v tématu Create snímku objektu blob.
versionid	Volitelné pro verzi 2019-12-12 a novější. Parametr versionid je neprůselná DateTime hodnota, která při výskytu určuje verzi objektu blob, pro kterou se má nastavit úroveň.
timeout	Nepovinný parametr. Parametr timeout je vyjádřen v sekundách. Další informace najdete v tématu Nastavení časových limitů pro operace služby Blob Storage.

Hlavičky požadavku

Požadované a volitelné hlavičky požadavků jsou popsané v následující tabulce:

Hlavička požadavku	Popis
Authorization	Povinná hodnota. Určuje schéma autorizace, název účtu úložiště a podpis. Další informace najdete v tématu Autorizace požadavků do služby Azure Storage.
Date nebo x-ms-date	Povinná hodnota. Určuje formát UTC (Coordinated Universal Time). Další informace najdete v tématu Autorizace požadavků do služby Azure Storage.
x-ms-legal-hold	Nepovinný parametr. Nastaví nebo odebere blokování objektu blob z právních důvodů. Pro účty Blob Storage nebo účty pro obecné účely v2 jsou true platné hodnoty a false.
x-ms-version	Povinné pro všechny autorizované žádosti. Určuje verzi operace, která se má použít pro tento požadavek. Další informace najdete v tématu Správa verzí pro služby Azure Storage.
x-ms-client-request-id	Nepovinný parametr. Poskytuje klientem vygenerovanou neprůselnou hodnotu s limitem počtu znaků 1 kibibajt (KiB), který je zaznamenán v protokolech při konfiguraci protokolování. Důrazně doporučujeme použít tuto hlavičku ke korelaci aktivit na straně klienta s požadavky, které server přijímá. Další informace najdete v tématu Monitorování Azure Blob Storage.

Text požadavku

Žádné

Odpověď

Odpověď obsahuje stavový kód HTTP a sadu hlaviček odpovědi.

Stavový kód

Úspěšná operace vrátí stavový kód 200 (OK).

Informace o stavových kódech najdete v tématu Stavové kódy a kódy chyb.

Hlavičky odpovědi

Odpověď na tuto operaci obsahuje následující hlavičky. Odpověď může také obsahovat další standardní hlavičky HTTP. Všechny standardní hlavičky odpovídají specifikaci protokolu HTTP/1.1.

Hlavička odpovědi	Description
x-ms-request-id	Jedinečně identifikuje požadavek, který byl proveden, a lze ho použít k řešení potíží s požadavkem.
Další informace najdete v tématu Řešení potíží s operacemi rozhraní API.
x-ms-version	Verze služby Blob Storage, která se použila ke spuštění požadavku. Tato hlavička se vrátí pro požadavky provedené ve verzi 2009-09-19 a novější.
x-ms-client-request-id	Dá se použít k řešení potíží s požadavky a odpovídajícími odpověďmi. Hodnota této hlavičky se rovná hodnotě x-ms-client-request-id hlavičky, pokud je v požadavku, a hodnota neobsahuje více než 1 024 viditelných znaků ASCII. Pokud hlavička x-ms-client-request-id v požadavku není, nebude v odpovědi.
x-ms-legal-hold	Označuje blokování z právních důvodů nastavené pro objekt blob. Platné hodnoty jsou true a false.

Autorizace

Při volání jakékoli operace přístupu k datům ve službě Azure Storage se vyžaduje autorizace. Operaci můžete autorizovat, Set Blob Legal Hold jak je popsáno níže.

Důležité

Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků do služby Azure Storage. Microsoft Entra ID ve srovnání s autorizací sdíleného klíče poskytuje vynikající zabezpečení a snadné použití.

Microsoft Entra ID (doporučeno)

Azure Storage podporuje autorizaci požadavků na data objektů blob pomocí Microsoft Entra ID. S Microsoft Entra ID můžete pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělit oprávnění k objektu zabezpečení. Objektem zabezpečení může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita Azure. Objekt zabezpečení je ověřen Microsoft Entra ID, aby vrátil token OAuth 2.0. Token se pak dá použít k autorizaci požadavku na službu Blob Service.

Další informace o autorizaci pomocí Microsoft Entra ID najdete v tématu Autorizace přístupu k objektům blob pomocí Microsoft Entra ID.

Oprávnění

Níže jsou uvedené akce RBAC potřebné k volání operace Microsoft Entra uživatele, skupiny, spravované identity nebo instančního objektu Set Blob Legal Hold a nejméně privilegované integrované role Azure RBAC, která zahrnuje tuto akci:

• Akce Azure RBAC:Microsoft.Storage/storageAccounts/blobServices/containers/write
• Nejméně privilegovaná předdefinovaná role:Přispěvatel dat v objektech blob služby Storage

Další informace o přiřazování rolí pomocí Azure RBAC najdete v tématu Přiřazení role Azure pro přístup k datům objektů blob.

Sdílené přístupové podpisy (SAS)

Sdílený přístupový podpis (SAS) poskytuje zabezpečený delegovaný přístup k prostředkům v účtu úložiště. V případě SAS máte podrobnou kontrolu nad tím, jak může klient přistupovat k datům. Můžete určit, k jakému prostředku může klient přistupovat, jaká oprávnění k těmto prostředkům má a jak dlouho je sas platný.

Operace Set Blob Legal Hold podporuje tři typy sdílených přístupových podpisů: SAS delegování uživatele, SAS služby a SAS účtu.

Jako osvědčený postup zabezpečení doporučujeme používat přihlašovací údaje Microsoft Entra místo klíče účtu úložiště, který může být snadněji ohrožen. Pokud návrh aplikace vyžaduje sdílené přístupové podpisy, použijte přihlašovací údaje Microsoft Entra k vytvoření SAS delegování uživatele, pokud je to možné.

Pokud je přístup ke sdílenému klíči pro účet úložiště zakázaný, token SAS služby nebo token SAS účtu nebude na žádost do služby Blob Storage povolený. Další informace najdete v tématu Vysvětlení, jak zakázání sdíleného klíče ovlivňuje tokeny SAS.

SAS delegování uživatele

SAS delegování uživatele je zabezpečeno Microsoft Entra přihlašovacími údaji a také oprávněními zadanými pro SAS.

Set Blob Legal Hold Volání operace pomocí tokenu SAS delegovaného na prostředek kontejneru nebo objektu blob vyžaduje oprávnění Neměnné úložiště (i) jako součást tokenu SAS delegování uživatele.

Další informace o SAS delegování uživatele najdete v tématu Create SAS delegování uživatele.

Sas služby

Sas služby je zabezpečený pomocí klíče účtu úložiště. Sas služby deleguje přístup k prostředku v jedné službě Azure Storage, jako je úložiště objektů blob.

Set Blob Legal Hold Volání operace pomocí tokenu SAS delegovaného na prostředek kontejneru nebo objektu blob vyžaduje oprávnění Immutable Storage (i) jako součást tokenu SAS služby.

Další informace o SAS služby najdete v tématu Create SAS služby.

Sas účtu

SAS účtu je zabezpečené pomocí klíče účtu úložiště. SAS účtu deleguje přístup k prostředkům v jedné nebo více službách úložiště. Všechny operace dostupné prostřednictvím sas pro službu nebo delegování uživatele jsou dostupné také prostřednictvím SAS účtu.

Následující tabulka uvádí typ podepsaného prostředku a podepsaná oprávnění, která se mají zadat při delegování přístupu:

Operace	Podepsaná služba	Typ podepsaného prostředku	Podepsané oprávnění
Nastavení blokování z právních důvodů objektu blob	Objekt blob (b)	Objekt (o)	Neměnné úložiště (i)

Další informace o SAS účtu najdete v tématu Create SAS účtu.

Sdílený klíč

Operace Set Blob Legal Hold podporuje autorizaci sdíleného klíče. Autorizace pomocí klíčů účtu se ve většině scénářů nedoporučuje, protože je méně bezpečná.

Microsoft doporučuje zakázat autorizaci sdíleného klíče pro účet úložiště, pokud je to možné. Další informace najdete v tématu Zabránění autorizaci pomocí sdíleného klíče.

Poznámky

Nastavení blokování objektu blob z právních důvodů pro úložiště objektů blob nebo účet pro obecné účely verze 2 má následující omezení:

• Nastavení blokování snímku nebo verze z právních důvodů je povolené od rest verze 2020-06-12.
• Pokud je blokování z právních důvodů nastavené na true, uživatelé nemůžou objekt blob upravovat ani odstraňovat s výjimkou některých speciálních operací, PutBlockList/PutBlob/CopyBlobprotože tyto operace vygenerují novou verzi.

Poznámka

Podrobné informace o neměnném úložišti najdete v tématu Neměnné úložiště.

Fakturace

Žádosti o ceny můžou pocházet od klientů, kteří používají rozhraní BLOB Storage API, a to buď přímo prostřednictvím rozhraní REST API služby Blob Storage, nebo z klientské knihovny Služby Azure Storage. Tyto požadavky načítají poplatky za transakci. Typ transakce ovlivňuje způsob účtování poplatku za účet. Například transakce čtení se načítají do jiné kategorie fakturace než transakce zápisu. Následující tabulka ukazuje kategorii fakturace pro Set Blob Legal Hold žádosti založené na typu účtu úložiště:

Operace	Typ účtu úložiště	Kategorie fakturace
Nastavení blokování z právních důvodů objektu blob	Objekt blob bloku úrovně Premium Standard pro obecné účely v2 Standard pro obecné účely v1	Další operace

Informace o cenách pro zadanou kategorii fakturace najdete v tématu Azure Blob Storage Ceny.

Viz také

Autorizace žádostí do Služby Azure Storage
Stavové kódy a kódy chyb
Kódy chyb služby Blob Storage
Nastavení časových limitů pro operace služby Blob Storage