Crea autorizzazione
L'operazione Create Permission crea un'autorizzazione (un descrittore di sicurezza) a livello di condivisione. È possibile usare il descrittore di sicurezza creato per i file e le directory nella condivisione. Questa API è disponibile a partire dalla versione 2019-02-02.
Disponibilità del protocollo
| Protocollo di condivisione file abilitato | Disponibile |
|---|---|
| SMB |
|
| NFS |
|
Richiesta
È possibile costruire la richiesta di Create Permission come illustrato di seguito. È consigliabile usare HTTPS.
| Metodo | URI della richiesta | Versione HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Sostituire i componenti del percorso visualizzati nell'URI della richiesta con i propri componenti, come illustrato di seguito:
| Componente percorso | Descrizione |
|---|---|
myaccount |
Nome dell'account di archiviazione. |
myshare |
Nome della condivisione file. Il nome può contenere solo caratteri minuscoli. |
Per informazioni sulle restrizioni di denominazione dei percorsi, vedere Nome e condivisioni di riferimento, directory, file e metadati.
Parametri URI
È possibile specificare parametri aggiuntivi nell'URI della richiesta, come illustrato di seguito:
| Parametro | Descrizione |
|---|---|
timeout |
Opzionale. Il parametro timeout è espresso in secondi. Per altre informazioni, vedere Impostare timeout per le operazioni del servizio di accodamento. |
Intestazioni della richiesta
Le intestazioni di richiesta obbligatorie e facoltative sono descritte nella tabella seguente:
| Intestazione della richiesta | Descrizione |
|---|---|
Authorization |
Obbligatorio. Specifica lo schema di autorizzazione, il nome dell'account di archiviazione e la firma. Per altre informazioni, vedere Autorizzare le richieste ad Archiviazione di Azure. |
Date o x-ms-date |
Obbligatorio. Specifica l'ora UTC (Coordinated Universal Time) per la richiesta. Per altre informazioni, vedere Autorizzare le richieste ad Archiviazione di Azure. |
x-ms-version |
Opzionale. Specifica la versione dell'operazione da utilizzare per questa richiesta. Per altre informazioni, vedere controllo delle versioni per i servizi di archiviazione di Azure. |
x-ms-client-request-id |
Opzionale. Fornisce un valore opaco generato dal client con un limite di caratteri di 1 kibibyte (KiB) registrato nei log quando viene configurata la registrazione. È consigliabile usare questa intestazione per correlare le attività sul lato client alle richieste ricevute dal server. Per altre informazioni, vedere Monitorare File di Azure. |
x-ms-file-request-intent |
Obbligatorio se Authorization intestazione specifica un token OAuth. Il valore accettabile è backup. Questa intestazione specifica che il Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action o Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action deve essere concesso se sono inclusi nei criteri di controllo degli accessi in base al ruolo assegnati all'identità autorizzata usando l'intestazione Authorization. Disponibile per la versione 2022-11-02 e successive. |
Corpo della richiesta
Per creare un descrittore di sicurezza, inserire un oggetto JSON nel corpo della richiesta. L'oggetto JSON può avere i campi seguenti:
| Chiave JSON | Descrizione |
|---|---|
permission |
Obbligatorio. Autorizzazione nell' sdDL (Security Descriptor Definition Language) |
format |
Opzionale. Versione 2024-11-04 o successiva. Descrive il formato dell'autorizzazione fornita in permission. Se definito, questo campo deve essere impostato su "sddl" o "binary". Se omesso, viene utilizzato il valore predefinito di "sddl". |
Se si usa SDDL, il formato di stringa SDDL del descrittore di sicurezza non deve avere un identificatore relativo del dominio (ad esempio, DU, DA o DD).
{
"permission": "<SDDL>"
}
Nella versione 2024-11-04 o successiva, facoltativamente, è possibile specificare in modo esplicito che l'autorizzazione sia in formato SDDL:
{
"format": "sddl",
"permission": "<SDDL>"
}
Nella versione 2024-11-04 o successiva è anche possibile creare un'autorizzazione in formato binario con codifica base 64. In tal caso, è necessario specificare in modo esplicito che il formato sia "binary".
{
"format": "binary",
"permission": "<base64>"
}
Richiesta di esempio
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Risposta
La risposta include un codice di stato HTTP e un set di intestazioni di risposta.
Codice di stato
Un'operazione riuscita restituisce il codice di stato 201 (Creato).
Per informazioni sui codici di stato, vedere Stato e codici di errore.
Intestazioni di risposta
La risposta per questa operazione include le intestazioni seguenti. La risposta potrebbe includere anche intestazioni HTTP standard aggiuntive. Tutte le intestazioni standard sono conformi alla specifica del protocollo HTTP/1.1 .
| Intestazione della risposta | Descrizione |
|---|---|
x-ms-request-id |
Identifica in modo univoco la richiesta effettuata ed è possibile usarla per risolvere i problemi della richiesta. |
x-ms-version |
Indica la versione di File di Azure usata per eseguire la richiesta. |
Date o x-ms-date |
Valore di data/ora UTC generato dal servizio e che indica l'ora di avvio della risposta. |
x-ms-file-permission-key |
Chiave dell'autorizzazione creata. |
x-ms-client-request-id |
Può essere usato per risolvere i problemi relativi alle richieste e alle risposte corrispondenti. Il valore di questa intestazione è uguale al valore dell'intestazione x-ms-client-request-id se è presente nella richiesta e il valore non contiene più di 1.024 caratteri ASCII visibili. Se l'intestazione x-ms-client-request-id non è presente nella richiesta, non è presente nella risposta. |
Corpo della risposta
Nessuno.
Autorizzazione
Solo il proprietario dell'account o un chiamante con una firma di accesso condiviso a livello di condivisione con autorizzazione di scrittura ed eliminazione può chiamare questa operazione.
Osservazioni
Per rendere il formato SDDL portabile in computer non appartenenti a dominio e dominio, il chiamante può usare il ConvertSecurityDescriptorToStringSecurityDescriptor funzione Windows per ottenere la stringa SDDL di base per il descrittore di sicurezza. Il chiamante può quindi sostituire la notazione SDDL elencata nella tabella seguente con il valore SID corretto.
| Nome | Notazione SDDL | Valore SID | Descrizione |
|---|---|---|---|
| Amministratore locale | LA | S-1-5-21-domain-500 | Un account utente per l'amministratore di sistema. Per impostazione predefinita, è l'unico account utente che ha il controllo completo sul sistema. |
| Guest locali | LG | S-1-5-21-domain-501 | Un account utente per le persone che non dispongono di account singoli. Questo account utente non richiede una password. Per impostazione predefinita, l'account guest è disabilitato. |
| Autori di certificati | CA | S-1-5-21-domain-517 | Gruppo globale che include tutti i computer che eseguono un'autorità di certificazione aziendale. I server di pubblicazione certificati sono autorizzati a pubblicare certificati per gli oggetti Utente in Active Directory. |
| Amministratori di dominio | DA | S-1-5-21-domain-512 | Gruppo globale i cui membri sono autorizzati ad amministrare il dominio. Per impostazione predefinita, il gruppo Domain Admins è membro del gruppo Administrators in tutti i computer che hanno aggiunto un dominio, inclusi i controller di dominio. Domain Admins è il proprietario predefinito di qualsiasi oggetto creato da qualsiasi membro del gruppo. |
| Controller di dominio | DD | S-1-5-21-domain-516 | Gruppo globale che include tutti i controller di dominio nel dominio. I nuovi controller di dominio vengono aggiunti a questo gruppo per impostazione predefinita. |
| Utenti di dominio | DU | S-1-5-21-domain-513 | Gruppo globale che, per impostazione predefinita, include tutti gli account utente in un dominio. Quando si crea un account utente in un dominio, l'account viene aggiunto a questo gruppo per impostazione predefinita. |
| Guest di dominio | DG | S-1-5-21-domain-514 | Un gruppo globale che, per impostazione predefinita, ha un solo membro, l'account guest predefinito del dominio. |
| Computer di dominio | DC | S-1-5-21-domain-515 | Gruppo globale che include tutti i client e i server che hanno aggiunto il dominio. |
| Amministratori dello schema | SA | S-1-5-21root domain-518 | Un gruppo universale in un dominio in modalità nativa; un gruppo globale in un dominio in modalità mista. Il gruppo è autorizzato a apportare modifiche allo schema in Active Directory. Per impostazione predefinita, l'unico membro del gruppo è l'account amministratore per il dominio radice della foresta. |
| Enterprise Admins | EA | Dominio S-1-5-21root-519 | Un gruppo universale in un dominio in modalità nativa; un gruppo globale in un dominio in modalità mista. Il gruppo è autorizzato a apportare modifiche a livello di foresta in Active Directory, ad esempio l'aggiunta di domini figlio. Per impostazione predefinita, l'unico membro del gruppo è l'account amministratore per il dominio radice della foresta. |
| Proprietari creatori di Criteri di gruppo | BABBO | S-1-5-21-domain-520 | Gruppo globale autorizzato a creare nuovi oggetti Criteri di gruppo in Active Directory. |
| Server RAS e IAS | RS | S-1-5-21-domain-553 | Un gruppo locale di dominio. Per impostazione predefinita, questo gruppo non ha membri. I server RAS (Remote Access Server) e IAS (Internet Authentication Service) in questo gruppo dispongono di restrizioni dell'account di lettura e accesso in lettura alle informazioni di accesso agli oggetti utente nel gruppo locale di dominio Active Directory. |
| Controller di dominio di sola lettura aziendali | ED | S-1-5-21-domain-498 | Un gruppo universale. I membri di questo gruppo sono controller di dominio di sola lettura nell'organizzazione. |
| Controller di dominio di sola lettura | RO | S-1-5-21-domain-521 | Gruppo globale. I membri di questo gruppo sono controller di dominio di sola lettura nel dominio. |