Blobablauf festlegen

Der Set Blob Expiry Vorgang legt ein Ablaufdatum für ein vorhandenes Blob fest. Dieser Vorgang ist nur für hierarchische Namespace-aktivierte Konten zulässig. Gilt für Dienstversion 2020-02-10 und höher.

Anforderung

Die Set Blob Expiry-Anforderung kann wie folgt erstellt werden. Es wird empfohlen, HTTPS zu verwenden. Ersetzen Sie myaccount durch den Namen Ihres Speicherkontos:

PUT-Methodenanforderungs-URI	HTTP-Version
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=expiry	HTTP/1.1

URI des emulierten Speicherdiensts

Wenn Sie eine Anforderung für den emulierten Speicherdienst stellen, geben Sie den Hostnamen des Emulators und den Blob Storage-Port als 127.0.0.1:10000an, gefolgt vom Namen des emulierten Speicherkontos:

PUT-Methodenanforderungs-URI	HTTP-Version
http://127.0.0.1:10000/devstoreaccount1/mycontainer/myblob?comp=expiry	HTTP/1.1

Weitere Informationen finden Sie unter Verwenden des Azurite-Emulators für lokale Azure Storage-Entwicklung.

URI-Parameter

Sie können im Anforderungs-URI die folgenden zusätzlichen Parameter angeben:

Parameter	BESCHREIBUNG
timeout	Optional. Der timeout-Parameter wird in Sekunden angegeben. Weitere Informationen finden Sie unter Festlegen von Timeouts für Blob Storage-Vorgänge.

Anforderungsheader

Die erforderlichen und optionalen Anforderungsheader werden in der folgenden Tabelle beschrieben:

Anforderungsheader	BESCHREIBUNG
Authorization	Erforderlich. Gibt das Authentifizierungsschema, den Kontonamen und die Signatur an. Weitere Informationen finden Sie unter Authentifizierung für die Azure Storage-Dienste .
Date oder x-ms-date	Erforderlich. Gibt die koordinierte Weltzeit (Coordinated Universal Time, UTC) für die Anforderung an. Weitere Informationen finden Sie unter Authentifizierung für die Azure Storage-Dienste.
x-ms-version	Erforderlich für alle authentifizierten Anforderungen. Gibt die Version des für die Anforderung zu verwendenden Vorgangs an. Weitere Informationen finden Sie unter Versionsverwaltung für die Azure-Speicherdienste.
x-ms-lease-id:<ID>	Erforderlich, wenn das BLOB über eine aktive Lease verfügt. Um diesen Vorgang für ein BLOB mit einer aktiven Lease auszuführen, geben Sie die gültige Lease-ID für diesen Header an.
x-ms-expiry-option	Erforderlich. Informationen zum Angeben der Ablaufdatumsoption für die Anforderung finden Sie unter ExpiryOption.
x-ms-expiry-time	Optional. Der Zeitpunkt, zu dem die Datei auf ablaufen festgelegt ist. Das Format für das Ablaufdatum variiert je nach x-ms-expiry-option. Weitere Informationen finden Sie unter ExpiryOption.
x-ms-client-request-id	Optional. Stellt einen vom Client generierten, undurchsichtigen Wert mit einem Zeichenlimit von 1 Kibibyte (KiB) bereit, der beim Konfigurieren der Protokollierung in den Protokollen aufgezeichnet wird. Es wird dringend empfohlen, diesen Header zu verwenden, um clientseitige Aktivitäten mit Anforderungen zu korrelieren, die der Server empfängt. Weitere Informationen finden Sie unter Überwachen Azure Blob Storage.

ExpiryOption

Sie können die folgenden Werte als x-ms-expiry-option Header senden. Bei diesem Header wird die Groß-/Kleinschreibung nicht beachtet.

Ablaufoption	BESCHREIBUNG
RelativeToCreation	Legt das Ablaufdatum relativ zum Zeitpunkt der Dateierstellung fest. x-ms-expiry-time muss als Die Anzahl der Millisekunden angegeben werden, die ab dem Zeitpunkt der Erstellung verstreichen sollen.
RelativeToNow	Legt das Ablaufdatum relativ zur aktuellen Zeit fest. x-ms-expiry-time muss als Anzahl von Millisekunden angegeben werden, die ab der aktuellen Zeit verstreichen sollen.
Absolute	x-ms-expiry-time muss als absolute Zeit im RFC 1123-Format angegeben werden.
NeverExpire	Legt fest, dass die Datei nie abläuft, oder entfernt das aktuelle Ablaufdatum. x-ms-expiry-time darf nicht angegeben werden.

Anforderungstext

Der Anforderungstext für diese Anforderung ist leer.

Beispiel für eine Anforderung

Request Syntax:  
PUT https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=expiry HTTP/1.1  
  
Request Headers:  
x-ms-version: 2020-02-10  
x-ms-date: Sun, 25 Sep 2020 14:37:35 GMT
x-ms-expiry-option: RelativeTonow
x-ms-expiry-time: 30000  
Authorization: SharedKey myaccount:J4ma1VuFnlJ7yfk/Gu1GxzbfdJloYmBPWlfhZ/xn7GI=    

Antwort

Die Antwort enthält den HTTP-Statuscode und einen Satz von Antwortheadern.

Statuscode

Bei einem erfolgreichen Vorgang wird der Statuscode 200 (OK) zurückgegeben.

Weitere Informationen zu status Codes finden Sie unter Status- und Fehlercodes.

Antwortheader

Die Antwort für diesen Vorgang umfasst die folgenden Header. Die Antwort kann außerdem weitere HTTP-Standardheader enthalten. Alle Standardheader entsprechen der HTTP/1.1-Protokollspezifikation.

Antwortheader	BESCHREIBUNG
ETag	Enthält einen Wert, der die Version der Datei darstellt. Der Wert wird in Anführungszeichen eingeschlossen.
Last-Modified	Gibt das Datum und die Uhrzeit der letzten Änderung des Verzeichnisses zurück. Das Datumsformat entspricht RFC 1123. Weitere Informationen finden Sie unter Darstellen von Datums-/Uhrzeitwerten in Headern. Bei jedem Vorgang, durch den das Verzeichnis, seine Eigenschaften oder seine Metadaten geändert werden, wird der Zeitpunkt der letzten Änderung aktualisiert. Vorgänge für Dateien wirken sich nicht auf den Zeitpunkt der letzten Änderung des Verzeichnisses aus.
x-ms-request-id	Identifiziert eindeutig die Anforderung, die gestellt wurde, und kann zur Problembehandlung für die Anforderung verwendet werden. Weitere Informationen finden Sie unter Problembehandlung bei API-Vorgängen.
x-ms-version	Gibt die Blob Storage-Version an, die zum Ausführen der Anforderung verwendet wurde.
Date	Ein UTC-Datums-/Uhrzeitwert, der vom Dienst generiert wird, der die Uhrzeit angibt, zu der die Antwort initiiert wurde.

Beispiel für eine Antwort

Response Status:  
HTTP/1.1 200 OK  
  
Response Headers:  
Date: Sun, 25 Sep 2011 23:47:09 GMT  
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0  

Authorization

Beim Aufrufen eines Datenzugriffsvorgangs in Azure Storage ist eine Autorisierung erforderlich. Sie können den Set Blob Expiry Vorgang wie unten beschrieben autorisieren.

Wichtig

Microsoft empfiehlt die Verwendung Microsoft Entra ID mit verwalteten Identitäten, um Anforderungen an Azure Storage zu autorisieren. Microsoft Entra ID bietet im Vergleich zur Autorisierung mit gemeinsam genutzten Schlüsseln überlegene Sicherheit und Benutzerfreundlichkeit.

Microsoft Entra ID (empfohlen)

Azure Storage unterstützt die Verwendung von Microsoft Entra ID zum Autorisieren von Anforderungen für Blobdaten. Mit Microsoft Entra ID können Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) verwenden, um einem Sicherheitsprinzipal Berechtigungen zu erteilen. Der Sicherheitsprinzipal kann ein Benutzer, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Azure-Identität sein. Der Sicherheitsprinzipal wird von Microsoft Entra ID authentifiziert, um ein OAuth 2.0-Token zurückzugeben. Das Token kann anschließend zum Autorisieren einer Anforderung an den Blob-Dienst verwendet werden.

Weitere Informationen zur Autorisierung mit Microsoft Entra ID finden Sie unter Autorisieren des Zugriffs auf Blobs mithilfe von Microsoft Entra ID.

Berechtigungen

Nachfolgend sind die RBAC-Aktion aufgeführt, die für einen Microsoft Entra Benutzer, eine Gruppe, eine verwaltete Identität oder einen Dienstprinzipal erforderlich ist, um den Set Blob Expiry Vorgang aufzurufen, und die integrierte Azure RBAC-Rolle mit den geringsten Berechtigungen, die diese Aktion enthält:

• Azure RBAC-Aktion:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Integrierte Rolle mit den geringsten Berechtigungen:Mitwirkender an Storage-Blobdaten

Weitere Informationen zum Zuweisen von Rollen mithilfe von Azure RBAC finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten.

Shared Access Signatures (SAS)

Eine Shared Access Signature (SAS) bietet sicheren delegierten Zugriff auf Ressourcen in einem Speicherkonto. Mit einer SAS haben Sie eine präzise Kontrolle darüber, wie ein Client auf Daten zugreifen kann. Sie können angeben, auf welche Ressource der Client zugreifen darf, über welche Berechtigungen er für diese Ressourcen verfügt und wie lange die SAS gültig ist.

Der Set Blob Expiry Vorgang unterstützt drei Arten von Shared Access Signatures: Sas für die Benutzerdelegierung, Dienst-SAS und Konto-SAS.

Als bewährte Sicherheitsmethode wird empfohlen, Microsoft Entra Anmeldeinformationen anstelle des Speicherkontoschlüssels zu verwenden, der leichter kompromittiert werden kann. Wenn Ihr Anwendungsentwurf Shared Access Signatures erfordert, verwenden Sie nach Möglichkeit Microsoft Entra Anmeldeinformationen, um eine SAS für die Benutzerdelegierung zu erstellen.

Wenn der Zugriff mit gemeinsam genutzten Schlüsseln für das Speicherkonto nicht zulässig ist, ist ein Sas-Diensttoken oder ein Konto-SAS-Token bei einer Anforderung an Blob Storage nicht zulässig. Weitere Informationen finden Sie unter Grundlegendes dazu, wie sich die Aufhebung der Verwendung gemeinsam genutzter Schlüssel auf SAS-Token auswirkt.

SAS für die Benutzerdelegierung

Eine SAS für die Benutzerdelegierung wird mit Microsoft Entra Anmeldeinformationen und auch durch die für die SAS angegebenen Berechtigungen geschützt.

Für das Aufrufen des Set Blob Expiry Vorgangs mit einem SAS-Token, das an einen Container oder eine Blobressource delegiert wird, ist die Schreibberechtigung (w) als Teil des SAS-Tokens für die Benutzerdelegierung erforderlich.

Weitere Informationen zur SAS für die Benutzerdelegierung finden Sie unter Create einer SAS für die Benutzerdelegierung.

Dienst-SAS

Eine Dienst-SAS wird mit dem Speicherkontoschlüssel geschützt. Eine Dienst-SAS delegiert den Zugriff auf eine Ressource in einem einzelnen Azure Storage-Dienst, z. B. BlobSpeicher.

Für das Aufrufen des Set Blob Expiry Vorgangs mit einem SAS-Token, das an einen Container oder eine Blobressource delegiert wird, ist die Schreibberechtigung (w) als Teil des SAS-Diensttokens erforderlich.

Weitere Informationen zur Dienst-SAS finden Sie unter Create einer Dienst-SAS.

Konto-SAS

Eine Konto-SAS wird mit dem Speicherkontoschlüssel geschützt. Eine Konto-SAS delegiert den Zugriff auf Ressourcen in einem oder mehreren der Speicherdienste. Alle Vorgänge, die über eine Dienst-SAS oder eine SAS für die Benutzerdelegierung verfügbar sind, sind auch über eine Konto-SAS verfügbar.

In der folgenden Tabelle sind der Typ der signierten Ressource und die signierten Berechtigungen angegeben, die beim Delegieren des Zugriffs angegeben werden sollen:

Vorgang	Signierter Dienst	Signierter Ressourcentyp	Signierte Berechtigung
Festlegen des Blobablaufs	Blob (b)	Objekt (o)	Schreiben (w)

Weitere Informationen zur Konto-SAS finden Sie unter Create einer Konto-SAS.

Gemeinsam verwendeter Schlüssel

Der Set Blob Expiry Vorgang unterstützt die Autorisierung mit gemeinsam verwendeten Schlüsseln. Die Autorisierung mit Kontoschlüsseln wird für die meisten Szenarien nicht empfohlen, da sie weniger sicher ist.

Microsoft empfiehlt, die Autorisierung mit gemeinsam genutzten Schlüsseln für das Speicherkonto nach Möglichkeit zu deaktivieren. Weitere Informationen finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendetem Schlüssel.

Hinweise

Die Semantik zum Festlegen eines Ablaufdatums für ein Blob lautet wie folgt:

• Set Expiry kann nur für eine Datei und nicht für ein Verzeichnis festgelegt werden.
• Set Expiry mit in expiryTime der Vergangenheit ist nicht zulässig.
• ExpiryTime kann nicht mit dem expiryOption Wert Neverangegeben werden.

Hinweis

Eine abgelaufene Datei kann nicht mithilfe der Funktion zum vorläufigen Löschen von Blobs wiederhergestellt werden. Selbst wenn Sie das vorläufige Löschen für das Konto aktiviert haben, wird eine abgelaufene Datei nicht zu einem vorläufig gelöschten Blob, wenn sie abläuft. Nur Dateien, die gelöscht werden, können zu vorläufig gelöschten Dateien werden.

Abrechnung

Preisanforderungen können von Clients stammen, die Blob Storage-APIs verwenden, entweder direkt über die Blob Storage-REST-API oder aus einer Azure Storage-Clientbibliothek. Für diese Anforderungen fallen Gebühren pro Transaktion an. Die Art der Transaktion wirkt sich auf die Abrechnung des Kontos aus. Beispielsweise werden Lesetransaktionen einer anderen Abrechnungskategorie zugeordnet als Schreibtransaktionen. Die folgende Tabelle zeigt die Abrechnungskategorie für Set Blob Expiry Anforderungen basierend auf dem Speicherkontotyp:

Vorgang	Speicherkontotyp	Abrechnungskategorie
Festlegen des Blobablaufs	Premium, Blockblob Standard „Allgemein v2“	Weitere Vorgänge
Festlegen des Blobablaufs	Standard „Allgemein v1“	Schreibvorgänge

Informationen zu den Preisen für die angegebene Abrechnungskategorie finden Sie unter Azure Blob Storage Preise.

Weitere Informationen

• Autorisieren von Anforderungen an Azure Storage
• Status- und Fehlercodes
• Blob Storage-Fehlercodes