Beleid voor onveranderbaarheid van blob instellen

Met Set Blob Immutability Policy de bewerking wordt het beleid voor onveranderbaarheid ingesteld op een blob. Met deze bewerking wordt de ETag van de blob niet bijgewerkt. Deze API is beschikbaar vanaf versie 2020-06-12.

Aanvraag

De Set Blob Immutability Policy aanvraag kan als volgt worden samengesteld. U wordt aangeraden HTTPS te gebruiken. Vervang myaccount door de naam van uw opslagaccount en myblob door de blobnaam waarvoor het onveranderbaarheidsbeleid moet worden gewijzigd.

Methode	Aanvraag-URI	HTTP-versie
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

URI-parameters

U kunt de volgende aanvullende parameters opgeven voor de aanvraag-URI:

Parameter	Beschrijving
snapshot	Optioneel. De parameter momentopname is een ondoorzichtige DateTime waarde die, wanneer deze aanwezig is, de blob-momentopname aangeeft waarop een laag moet worden ingesteld. Zie een momentopname van een blob Creatie voor meer informatie over het werken met blob-momentopnamen
versionid	Optioneel voor versie 2019-12-12 en hoger. De versionid parameter is een ondoorzichtige DateTime waarde die, wanneer deze aanwezig is, de versie van de blob aangeeft waarop een laag moet worden ingesteld.
timeout	Optioneel. De timeout parameter wordt uitgedrukt in seconden. Zie Time-outs instellen voor Blob Storage-bewerkingen voor meer informatie.

Aanvraagheaders

De vereiste en optionele aanvraagheaders worden beschreven in de volgende tabel:

Aanvraagheader	Beschrijving
Authorization	Vereist. Hiermee geeft u het autorisatieschema, de naam van het opslagaccount en de handtekening op. Zie Aanvragen autoriseren voor Azure Storage voor meer informatie.
Date of x-ms-date	Vereist. Geef de Coordinated Universal Time (UTC) op voor de aanvraag. Zie Aanvragen autoriseren voor Azure Storage voor meer informatie.
x-ms-immutability-policy-until-date	Vereist. Geeft de retentie tot de datum aan die moet worden ingesteld op de blob. Dit is de datum totdat de blob kan worden beveiligd tegen wijziging of verwijdering. Voor blobopslag of een v2-account voor algemeen gebruik hebben geldige waarden RFC1123 indeling. Vroegere tijden zijn niet geldig.
x-ms-immutability-policy-mode	Optioneel. Als dit niet is opgegeven, is Unlockedde standaardwaarde . Geeft de beleidsmodus voor onveranderbaarheid aan die moet worden ingesteld op de blob. Voor een blobopslagaccount of een v2-account voor algemeen gebruik zijn Unlocked/Lockedgeldige waarden . unlocked geeft aan dat de gebruiker het beleid kan wijzigen door de retentie tot datum te verhogen of te verlagen. locked geeft aan dat deze acties verboden zijn.
x-ms-version	Vereist voor alle geautoriseerde aanvragen. Hiermee geeft u de versie van de bewerking te gebruiken voor deze aanvraag. Zie Versiebeheer voor de Azure Storage-services voor meer informatie.
x-ms-client-request-id	Optioneel. Biedt een door de client gegenereerde, ondoorzichtige waarde met een limiet van 1 kibibyte (KiB) die wordt vastgelegd in de logboeken wanneer logboekregistratie is geconfigureerd. We raden u ten zeerste aan deze header te gebruiken om activiteiten aan de clientzijde te correleren met aanvragen die de server ontvangt. Zie Azure Blob Storage bewaken voor meer informatie.

Deze bewerking ondersteunt ook het gebruik van voorwaardelijke headers om de blob alleen in te stellen als aan een opgegeven voorwaarde wordt voldaan. Zie Voorwaardelijke headers opgeven voor Blob Storage-bewerkingen voor meer informatie.

Aanvraagbody

Geen.

Antwoord

Het antwoord bevat een HTTP-statuscode en een set antwoordheaders.

Statuscode

Een geslaagde bewerking retourneert statuscode 200 (OK).

Zie Status- en foutcodes voor meer informatie over statuscodes.

Antwoordheaders

Het antwoord voor deze bewerking bevat de onderstaande headers. Het antwoord kan ook aanvullende standaard-HTTP-headers bevatten. Alle standaardheaders voldoen aan de HTTP/1.1-protocolspecificatie.

Antwoordheader	Description
x-ms-request-id	Identificeert op unieke wijze de aanvraag die is gedaan en kan worden gebruikt om problemen met de aanvraag op te lossen. Zie Problemen met API-bewerkingen oplossen voor meer informatie.
x-ms-version	Geeft de Blob Storage-versie aan die is gebruikt om de aanvraag uit te voeren. Geretourneerd voor aanvragen die zijn gedaan op basis van versie 2009-09-19 en hoger.
x-ms-client-request-id	Kan worden gebruikt om problemen met aanvragen en bijbehorende antwoorden op te lossen. De waarde van deze header is gelijk aan de waarde van de x-ms-client-request-id header als deze aanwezig is in de aanvraag en de waarde niet meer dan 1024 zichtbare ASCII-tekens bevat. Als de x-ms-client-request-id header niet aanwezig is in de aanvraag, is deze niet aanwezig in het antwoord.
x-ms-immutability-policy-until-date	Geeft de retentie-tot-datum aan die moet worden ingesteld voor de blob. Dit is de datum totdat de blob kan worden beveiligd tegen wijziging of verwijdering.
x-ms-immutability-policy-mode	Hiermee wordt de beleidsmodus voor onveranderbaarheid aangegeven die is ingesteld op de blob. Waarden zijn unlocked en locked. Deunlocked waarde geeft aan dat de gebruiker het beleid kan wijzigen door de retentie-tot-datum te verhogen of te verlagen, en locked geeft aan dat deze acties zijn verboden.

Autorisatie

Autorisatie is vereist bij het aanroepen van een bewerking voor gegevenstoegang in Azure Storage. U kunt de Set Blob Immutability Policy bewerking autoriseren zoals hieronder wordt beschreven.

Belangrijk

Microsoft raadt het gebruik van Microsoft Entra ID met beheerde identiteiten aan om aanvragen voor Azure Storage te autoriseren. Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak in vergelijking met autorisatie met gedeelde sleutels.

Microsoft Entra ID (aanbevolen)

Azure Storage ondersteunt het gebruik van Microsoft Entra ID om aanvragen voor blobgegevens te autoriseren. Met Microsoft Entra ID kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipal. De beveiligingsprincipal kan een gebruiker, groep, toepassingsservice-principal of beheerde Azure-identiteit zijn. De beveiligingsprincipal wordt geverifieerd door Microsoft Entra ID om een OAuth 2.0-token te retourneren. Het token kan vervolgens worden gebruikt om een aanvraag voor de Blob-service te autoriseren.

Zie Toegang tot blobs autoriseren met Microsoft Entra ID voor meer informatie over autorisatie met behulp van Microsoft Entra ID.

Machtigingen

Hieronder vindt u de RBAC-actie die nodig is voor een Microsoft Entra gebruiker, groep, beheerde identiteit of service-principal om de Set Blob Immutability Policy bewerking aan te roepen, en de ingebouwde Azure RBAC-rol met de minste bevoegdheden die deze actie omvat:

• Azure RBAC-actie:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
• Ingebouwde rol met minimale bevoegdheden:Eigenaar van opslagblobgegevens

Zie Een Azure-rol toewijzen voor toegang tot blobgegevens voor meer informatie over het toewijzen van rollen met behulp van Azure RBAC.

Shared Access Signatures (SAS)

Een Shared Access Signature (SAS) biedt beveiligde gedelegeerde toegang tot resources in een opslagaccount. Met een SAS hebt u gedetailleerde controle over hoe een client toegang heeft tot gegevens. U kunt opgeven tot welke resource de client toegang heeft, welke machtigingen ze hebben voor deze resources en hoe lang de SAS geldig is.

De Set Blob Immutability Policy bewerking ondersteunt drie typen handtekeningen voor gedeelde toegang: sas voor gebruikersdelegatie, service-SAS en account-SAS.

Als best practice voor beveiliging raden we u aan Microsoft Entra referenties te gebruiken in plaats van de sleutel van het opslagaccount, die gemakkelijker kan worden aangetast. Als voor uw toepassingsontwerp handtekeningen voor gedeelde toegang zijn vereist, gebruikt u Microsoft Entra referenties om, indien mogelijk, een SAS voor gebruikersdelegatie te maken.

Wanneer gedeelde sleuteltoegang niet is toegestaan voor het opslagaccount, is een service-SAS-token of een ACCOUNT-SAS-token niet toegestaan op een aanvraag voor Blob Storage. Zie Begrijpen hoe het niet toewijzen van gedeelde sleutel van invloed is op SAS-tokens voor meer informatie.

SAS voor gebruikersdelegatie

Een SAS voor gebruikersdelegatie wordt beveiligd met Microsoft Entra referenties en ook met de machtigingen die zijn opgegeven voor de SAS.

Voor het aanroepen van de Set Blob Immutability Policy bewerking met behulp van een SAS-token dat is gedelegeerd aan een container of blob-resource, is de machtiging Onveranderbare opslag (i) vereist als onderdeel van het SAS-token voor gebruikersdelegatie.

Zie een SAS voor gebruikersdelegatie Creatie voor meer informatie over de SAS voor gebruikersdelegatie.

Service-SAS

Een service-SAS wordt beveiligd met de sleutel van het opslagaccount. Een service-SAS delegeert de toegang tot een resource in één Azure Storage-service, zoals blobopslag.

Voor het aanroepen van de Set Blob Immutability Policy bewerking met behulp van een SAS-token dat is gedelegeerd aan een container of blob-resource, is de machtiging Onveranderbare opslag (i) vereist als onderdeel van het SAS-token van de service.

Zie een service-SAS Creatie voor meer informatie over de service-SAS.

Account-SAS

Een account-SAS wordt beveiligd met de sleutel van het opslagaccount. Een account-SAS delegeert toegang tot resources in een of meer van de opslagservices. Alle bewerkingen die beschikbaar zijn via een service of gebruikersdelegatie-SAS zijn ook beschikbaar via een account-SAS.

In de volgende tabel ziet u het ondertekende resourcetype en de ondertekende machtigingen die moeten worden opgegeven bij het delegeren van toegang:

Bewerking	Ondertekende service	Ondertekend resourcetype	Ondertekende machtiging
Beleid voor onveranderbaarheid van blob instellen	Blob (b)	Object (o)	Onveranderbare opslag (i)

Zie Creatie een account-SAS Creatie voor meer informatie over de account-SAS.

Gedeelde sleutel

De Set Blob Immutability Policy bewerking ondersteunt autorisatie van gedeelde sleutels. Autoriseren met accountsleutels wordt niet aanbevolen voor de meeste scenario's, omdat dit minder veilig is.

Microsoft raadt aan om indien mogelijk autorisatie voor gedeelde sleutels voor het opslagaccount ongedaan te maken. Zie Autorisatie met gedeelde sleutel voorkomen voor meer informatie.

Opmerkingen

Het instellen van het beleid voor onveranderbaarheid van de blob voor een blob-opslag of een v2-account voor algemeen gebruik heeft de volgende beperkingen:

• Het instellen van een beleid voor onveranderbaarheid op een momentopname of een versie is toegestaan vanaf REST-versie 2020-06-12.
• Wanneer het beleid voor onveranderbaarheid in unlocked de modus is, kunnen gebruikers de retentie bijwerken tot de datum. Wanneer het beleid voor onveranderbaarheid in locked de modus is, kunnen gebruikers de retentie verlengen tot alleen datum. Beleidsmodus voor onveranderbaarheid kan worden gewijzigd van unlocked in locked, maar niet van locked in unlocked.
• Wanneer er een beleid voor onveranderbaarheid op een blob is en er ook een standaardbeleid voor onveranderbaarheid voor de container of het account is, krijgt het beleid voor onveranderbaarheid van blobs een precedent.
• Voor een beleid PutBlockList/PutBlob/CopyBlob voor onveranderbaarheid op blobniveau zijn bewerkingen toegestaan, omdat deze bewerkingen een nieuwe versie genereren.
• Wanneer het beleid voor onveranderbaarheid zich in unlocked de modus bevindt, kunnen gebruikers het onveranderbaarheidsbeleid verwijderen met behulp van de volgende API:

Methode	Aanvraag-URI	HTTP-versie
Delete	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Notitie

Zie Onveranderbare opslag voor meer informatie.

Billing

Prijsaanvragen kunnen afkomstig zijn van clients die gebruikmaken van Blob Storage-API's, rechtstreeks via de Blob Storage REST API of vanuit een Azure Storage-clientbibliotheek. Met deze aanvragen worden kosten per transactie in rekening gebracht. Het type transactie is van invloed op de manier waarop de rekening in rekening wordt gebracht. Leestransacties hebben bijvoorbeeld een andere factureringscategorie dan schrijftransacties. In de volgende tabel ziet u de factureringscategorie voor Set Blob Immutability Policy aanvragen op basis van het type opslagaccount:

Bewerking	Type opslagaccount	Factureringscategorie
Beleid voor onveranderbaarheid van blob instellen	Premium blok-blob Standaard v2 voor algemeen gebruik Standaard v1 voor algemeen gebruik	Andere bewerkingen

Zie prijzen voor Azure Blob Storage voor meer informatie over prijzen voor de opgegeven factureringscategorie.

Zie ook

Aanvragen autoriseren voor Azure Storage
Status en foutcodes
Blob Storage-foutcodes
Time-outs instellen voor Blob Storage-bewerkingen