Définir la liste de contrôle d’accès de file d’attente
L’opération Set Queue ACL définit des stratégies d’accès stockées pour la file d’attente qui peut être utilisée avec une signature d’accès partagé (SIGNATURE d’accès partagé). Pour plus d’informations, consultez Définir une stratégie d’accès stockée.
Note
L’opération Set Queue ACL est disponible dans la version 2012-02-12 et ultérieure.
Demander
Vous pouvez construire la requête Set Queue ACL comme suit. Nous vous recommandons d’utiliser HTTPS.
Remplacez mon compte par le nom de votre compte de stockage :
| Méthode | URI de requête | Version HTTP |
|---|---|---|
PUT |
https://myaccount.queue.core.windows.net/myqueue?comp=acl |
HTTP/1.1 |
Demande de service de stockage émulée
Lorsque vous effectuez une requête sur le service de stockage émulé, spécifiez le nom d’hôte de l’émulateur et le port du service file d’attente comme 127.0.0.1:10001, suivi du nom du compte de stockage émulé :
| Méthode | URI de requête | Version HTTP |
|---|---|---|
PUT |
http://127.0.0.1:10001/devstoreaccount1/myqueue?comp=acl |
HTTP/1.1 |
Pour plus d’informations, consultez Utiliser l’émulateur Azurite pour le développement Azure Storage local.
Paramètres d’URI
Vous pouvez spécifier les paramètres supplémentaires suivants sur l’URI de requête :
| Paramètre | Description |
|---|---|
timeout |
Optionnel. Le paramètre timeout est exprimé en secondes. Pour plus d’informations, consultez Définir des délais d’attente pour les opérations de service de file d’attente. |
En-têtes de requête
Les en-têtes de requête obligatoires et facultatifs sont décrits dans le tableau suivant :
| En-tête de requête | Description |
|---|---|
Authorization |
Obligatoire. Spécifie le schéma d’autorisation, le nom du compte et la signature. Pour plus d’informations, consultez Autoriser les demandes vers le stockage Azure. |
Date ou x-ms-date |
Obligatoire. Spécifie le temps universel coordonné (UTC) de la requête. Pour plus d’informations, consultez Autoriser les demandes vers le stockage Azure. |
x-ms-version |
Optionnel. Spécifie la version de l’opération à utiliser pour cette requête. Pour plus d’informations, consultez Contrôle de version pour les services stockage Azure. |
x-ms-client-request-id |
Optionnel. Fournit une valeur opaque générée par le client avec une limite de caractères de 1 kibioctet (KiB) enregistrée dans les journaux lors de la configuration de la journalisation. Nous vous recommandons vivement d’utiliser cet en-tête pour mettre en corrélation les activités côté client avec les demandes reçues par le serveur. Pour plus d’informations, consultez Monitor Stockage File d’attente Azure. |
Corps de la demande
Pour spécifier une stratégie d’accès stockée, fournissez un identificateur unique et une stratégie d’accès dans le corps de la demande pour l’opération de Set Queue ACL.
L’élément SignedIdentifier inclut l’identificateur unique, tel que spécifié dans l’élément Id et les détails de la stratégie d’accès, comme spécifié dans l’élément AccessPolicy. La longueur maximale de l’identificateur unique est de 64 caractères.
Les champs Start et Expiry doivent être exprimés en temps UTC et doivent respecter un format ISO 8061 valide. Les formats ISO 8061 pris en charge sont les suivants :
YYYY-MM-DDYYYY-MM-DDThh:mmTZDYYYY-MM-DDThh:mm:ssTZDYYYY-MM-DDThh:mm:ss.ffffffTZD
Pour la partie date de ces formats, YYYY est une représentation d’année à quatre chiffres, MM est une représentation de mois à deux chiffres et DD est une représentation de jour à deux chiffres. Pour la partie de temps, hh est la représentation horaire en notation de 24 heures, mm est la représentation de minute à deux chiffres, ss est la deuxième représentation à deux chiffres et ffffff est la représentation en millisecondes à six chiffres. Un indicateur d’heure T sépare les parties date et heure de la chaîne, et un indicateur de fuseau horaire TZD spécifie un fuseau horaire.
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>unique-64-character-value</Id>
<AccessPolicy>
<Start>start-time</Start>
<Expiry>expiry-time</Expiry>
<Permission>abbreviated-permission-list</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
Exemple de requête
Request Syntax:
PUT https://myaccount.queue.core.windows.net/myqueue?comp=acl HTTP/1.1
Request Headers:
x-ms-version: 2012-02-12
x-ms-date: Sun, 25 Sep 2011 00:42:49 GMT
Authorization: SharedKey myaccount:V47F2tYLS29MmHPhiR8FyiCny9zO5De3kVSF0RYQHmo=
Request Body:
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>
<AccessPolicy>
<Start>2009-09-28T08:49:37.0000000Z</Start>
<Expiry>2009-09-29T08:49:37.0000000Z</Expiry>
<Permission>raup</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
Réponse
La réponse inclut un code d’état HTTP et un ensemble d’en-têtes de réponse.
Code d’état
Une opération réussie retourne le code d’état 204 (aucun contenu).
Pour plus d’informations sur les codes d’état, consultez Les codes d’état et d’erreur.
En-têtes de réponse
La réponse de cette opération inclut les en-têtes suivants. La réponse peut également inclure des en-têtes HTTP standard supplémentaires. Tous les en-têtes standard sont conformes à la spécification de protocole HTTP/1.1
| En-tête de réponse | Description |
|---|---|
x-ms-request-id |
Identifie de manière unique la demande qui a été effectuée et peut être utilisée pour résoudre les problèmes de la demande. Pour plus d’informations, consultez Résoudre les problèmes d’opérations d’API. |
x-ms-version |
Indique la version du service file d’attente utilisée pour exécuter la requête. Cet en-tête est retourné pour les demandes effectuées par rapport à la version 2009-09-19 et ultérieures. |
Date |
Valeur de date/heure UTC générée par le service, qui indique l’heure à laquelle la réponse a été lancée. |
x-ms-client-request-id |
Cet en-tête peut être utilisé pour résoudre les demandes et les réponses correspondantes. La valeur de cet en-tête est égale à la valeur de l’en-tête x-ms-client-request-id s’il est présent dans la requête et que la valeur ne contient pas plus de 1 024 caractères ASCII visibles. Si l’en-tête x-ms-client-request-id n’est pas présent dans la requête, il ne sera pas présent dans la réponse. |
Exemple de réponse
Response Status:
HTTP/1.1 204 No Content
Response Headers:
Transfer-Encoding: chunked
Date: Sun, 25 Sep 2011 22:42:55 GMT
x-ms-version: 2012-02-12
Server: Windows-Azure-Queue/1.0 Microsoft-HTTPAPI/2.0
Autorisation
L’autorisation est requise lors de l’appel d’une opération d’accès aux données dans stockage Azure. Vous pouvez autoriser l’opération de Set Queue ACL à l’aide de l’ID Microsoft Entra ou de la clé partagée.
Pour autoriser l’opération de Set Queue ACL à l’aide de l’ID Microsoft Entra, le principal de sécurité a besoin d’un rôle RBAC Azure personnalisé qui inclut l’action RBAC suivante : Microsoft.Storage/storageAccounts/queueServices/queues/setAcl/action.
Important
Microsoft recommande d’utiliser l’ID Microsoft Entra avec des identités managées pour autoriser les demandes adressées au stockage Azure. Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures par rapport à l’autorisation de clé partagée.
Remarques
Lorsque vous définissez des autorisations pour une file d’attente, les autorisations existantes sont remplacées. Pour mettre à jour les autorisations de la file d’attente, appelez Obtenir la liste de contrôle d’accès de file d’attente pour extraire toutes les stratégies d’accès associées à la file d’attente. Modifiez la stratégie d’accès que vous souhaitez modifier, puis appelez Set Queue ACL avec l’ensemble complet de données pour effectuer la mise à jour.
Établir des stratégies d’accès stockées
Une stratégie d’accès stockée peut spécifier l’heure de début, l’heure d’expiration et les autorisations pour les signatures d’accès partagé auxquelles elle est associée. Selon la façon dont vous souhaitez contrôler l’accès à votre ressource de file d’attente, vous pouvez spécifier tous ces paramètres dans la stratégie d’accès stockée et les omettre à partir de l’URL de la signature d’accès partagé. En procédant ainsi, vous pouvez modifier le comportement de la signature associée à tout moment ou le révoquer. Vous pouvez également spécifier un ou plusieurs paramètres de stratégie d’accès dans la stratégie d’accès stockée, et les autres sur l’URL. Enfin, vous pouvez spécifier tous les paramètres de l’URL. Dans ce cas, vous pouvez utiliser la stratégie d’accès stockée pour révoquer la signature, mais pas pour modifier son comportement. Pour plus d’informations sur l’établissement de stratégies d’accès, consultez Définir une stratégie d’accès stockée.
Ensemble, la signature d’accès partagé et la stratégie d’accès stockée doivent inclure tous les champs requis pour autoriser la signature. Si des champs obligatoires sont manquants, la requête échoue. De même, si un champ est spécifié à la fois dans l’URL de signature d’accès partagé et dans la stratégie d’accès stockée, la demande échoue avec le code d’état 400 (demande incorrecte).
Au maximum, cinq stratégies d’accès distinctes peuvent être définies pour une file d’attente unique à tout moment. Si plus de cinq stratégies d’accès sont passées dans le corps de la demande, le service retourne le code d’état 400 (requête incorrecte).
Lorsque vous établissez une stratégie d’accès stockée sur une file d’attente, il peut prendre jusqu’à 30 secondes. Pendant cet intervalle, une signature d’accès partagé associée à la stratégie d’accès stockée échoue avec le code d’état 403 (Interdit), jusqu’à ce que la stratégie d’accès devienne active.
Voir aussi
Définir une stratégie d’accès stockée
Obtenir la liste de contrôle d’accès de file d’attente
Autoriser les demandes adressées au stockage Azure
l’état et les codes d’erreur