Tworzenie uprawnienia
Operacja Create Permission
tworzy uprawnienie (deskryptor zabezpieczeń) na poziomie udziału. Możesz użyć utworzonego deskryptora zabezpieczeń dla plików i katalogów w udziale. Ten interfejs API jest dostępny w wersji 2019-02-02.
Dostępność protokołu
Włączony protokół udziału plików | Dostępny |
---|---|
SMB | |
NFS |
Prosić
Możesz skonstruować żądanie Create Permission
, jak pokazano tutaj. Zalecamy używanie protokołu HTTPS.
Metoda | Identyfikator URI żądania | Wersja PROTOKOŁU HTTP |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Zastąp składniki ścieżki wyświetlane w identyfikatorze URI żądania własnymi składnikami, jak pokazano poniżej:
Składnik ścieżki | Opis |
---|---|
myaccount |
Nazwa konta magazynu. |
myshare |
Nazwa udziału plików. Nazwa może zawierać tylko małe litery. |
Aby uzyskać informacje o ograniczeniach nazewnictwa ścieżek, zobacz Nazwa i dokumentacja udziałów, katalogów, plików i metadanych.
Parametry identyfikatora URI
Możesz określić dodatkowe parametry dla identyfikatora URI żądania, jak pokazano tutaj:
Parametr | Opis |
---|---|
timeout |
Fakultatywny. Parametr timeout jest wyrażony w sekundach. Aby uzyskać więcej informacji, zobacz Ustawianie limitów czasu dla operacji usługi kolejkowania. |
Nagłówki żądań
Wymagane i opcjonalne nagłówki żądań zostały opisane w poniższej tabeli:
Nagłówek żądania | Opis |
---|---|
Authorization |
Wymagane. Określa schemat autoryzacji, nazwę konta magazynu i podpis. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage. |
Date lub x-ms-date |
Wymagane. Określa uniwersalny czas koordynowany (UTC) dla żądania. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage. |
x-ms-version |
Fakultatywny. Określa wersję operacji do użycia dla tego żądania. Aby uzyskać więcej informacji, zobacz Versioning for Azure Storage services. |
x-ms-client-request-id |
Fakultatywny. Zapewnia nieprzezroczystą wartość wygenerowaną przez klienta z limitem znaków 1-kibibyte (KiB), który jest rejestrowany w dziennikach podczas konfigurowania rejestrowania. Zdecydowanie zalecamy używanie tego nagłówka do korelowania działań po stronie klienta z żądaniami odbieranymi przez serwer. Aby uzyskać więcej informacji, zobacz Monitor Azure Files. |
x-ms-file-request-intent |
Wymagane, jeśli nagłówek Authorization określa token OAuth. Akceptowalna wartość to backup . Ten nagłówek określa, że Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action lub Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action należy przyznać, jeśli są one uwzględnione w zasadach RBAC przypisanych do tożsamości autoryzowanej przy użyciu nagłówka Authorization . Dostępne dla wersji 2022-11-02 lub nowszej. |
Treść żądania
Deskryptor zabezpieczeń jest tworzony przez umieszczenie obiektu JSON w treści żądania. Obiekt JSON może mieć następujące pola:
Klucz JSON | Opis |
---|---|
permission |
Wymagane. Uprawnienie w Security Descriptor Definition Language (SDDL) lub (wersja 2024-11-04 lub nowsza) w formacie base64 zakodowanym binarnym deskryptorze zabezpieczeń. Deskryptor zabezpieczeń musi mieć właściciela, grupę i uznaniową listę kontroli dostępu (DACL). |
format |
Fakultatywny. Wersja 2024-11-04 lub nowsza. Opisuje format uprawnienia podanego w permission . Jeśli to pole jest zdefiniowane, należy ustawić wartość "sddl" lub "binary" . W przypadku pominięcia zostanie użyta wartość domyślna "sddl" . |
W przypadku korzystania z języka SDDL format ciągu SDDL deskryptora zabezpieczeń nie powinien mieć identyfikatora względnego domeny (na przykład DU, DA lub DD).
{
"permission": "<SDDL>"
}
W wersji 2024-11-04 lub nowszej można opcjonalnie jawnie określić, czy uprawnienie ma format SDDL:
{
"format": "sddl",
"permission": "<SDDL>"
}
W wersji 2024-11-04 lub nowszej można również utworzyć uprawnienie w formacie binarnym zakodowanym w formacie base-64. W takim przypadku należy jawnie określić, że format jest "binary"
.
{
"format": "binary",
"permission": "<base64>"
}
Przykładowe żądanie
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Odpowiedź
Odpowiedź zawiera kod stanu HTTP i zestaw nagłówków odpowiedzi.
Kod stanu
Pomyślna operacja zwraca kod stanu 201 (Utworzono).
Aby uzyskać informacje o kodach stanu, zobacz Stan i kody błędów.
Nagłówki odpowiedzi
Odpowiedź dla tej operacji zawiera następujące nagłówki. Odpowiedź może również zawierać dodatkowe standardowe nagłówki HTTP. Wszystkie standardowe nagłówki są zgodne ze specyfikacją protokołu HTTP/1.1 .
Nagłówek odpowiedzi | Opis |
---|---|
x-ms-request-id |
Unikatowo identyfikuje żądanie, które zostało wykonane, i można go użyć do rozwiązywania problemów z żądaniem. |
x-ms-version |
Wskazuje wersję usługi Azure Files, która została użyta do wykonania żądania. |
Date lub x-ms-date |
Wartość daty/godziny UTC wygenerowana przez usługę i wskazująca godzinę zainicjowania odpowiedzi. |
x-ms-file-permission-key |
Klucz utworzonego uprawnienia. |
x-ms-client-request-id |
Może służyć do rozwiązywania problemów z żądaniami i odpowiadającymi im odpowiedziami. Wartość tego nagłówka jest równa wartości nagłówka x-ms-client-request-id , jeśli znajduje się w żądaniu, a wartość nie zawiera więcej niż 1024 widocznych znaków ASCII. Jeśli nagłówek x-ms-client-request-id nie znajduje się w żądaniu, nie jest obecny w odpowiedzi. |
Treść odpowiedzi
Żaden.
Autoryzacja
Tylko właściciel konta lub obiekt wywołujący, który ma sygnaturę dostępu współdzielonego na poziomie udziału z autoryzacją zapisu i usuwania, może wywołać tę operację.
Uwagi
Aby format SDDL był przenośny na maszynach domenowych i nieprzyłączonych do domeny, obiekt wywołujący może użyć ConvertSecurityDescriptorToStringSecurityDescriptor funkcji systemu Windows, aby uzyskać podstawowy ciąg SDDL deskryptora zabezpieczeń. Obiekt wywołujący może następnie zastąpić notację SDDL wymienioną w poniższej tabeli poprawną wartością identyfikatora SID.
Nazwa | Notacja SDDL | Wartość identyfikatora SID | Opis |
---|---|---|---|
Administrator lokalny | LA | S-1-5-21-domain-500 | Konto użytkownika administratora systemu. Domyślnie jest to jedyne konto użytkownika, które ma pełną kontrolę nad systemem. |
Goście lokalni | LG | S-1-5-21-domain-501 | Konto użytkownika dla osób, które nie mają indywidualnych kont. To konto użytkownika nie wymaga hasła. Domyślnie konto gościa jest wyłączone. |
Wydawcy certyfikatów | CA | S-1-5-21-domain-517 | Grupa globalna obejmująca wszystkie komputery z uruchomionym urzędem certyfikacji przedsiębiorstwa. Wydawcy certyfikatów są autoryzowani do publikowania certyfikatów dla obiektów użytkownika w usłudze Active Directory. |
Administratorzy domeny | DA | S-1-5-21-domain-512 | Grupa globalna, której członkowie mają uprawnienia do administrowania domeną. Domyślnie grupa Administratorzy domeny jest członkiem grupy Administratorzy na wszystkich komputerach, które dołączyły do domeny, w tym kontrolerów domeny. Administratorzy domeny są domyślnym właścicielem dowolnego obiektu utworzonego przez dowolnego członka grupy. |
Kontrolery domeny | DD | S-1-5-21-domain-516 | Grupa globalna obejmująca wszystkie kontrolery domeny w domenie. Nowe kontrolery domeny są domyślnie dodawane do tej grupy. |
Użytkownicy domeny | DU | S-1-5-21-domain-513 | Grupa globalna, która domyślnie zawiera wszystkie konta użytkowników w domenie. Podczas tworzenia konta użytkownika w domenie konto jest domyślnie dodawane do tej grupy. |
Goście domeny | DG | S-1-5-21-domain-514 | Grupa globalna, która domyślnie ma tylko jeden element członkowski, wbudowane konto gościa domeny. |
Komputery domeny | DC | S-1-5-21-domain-515 | Grupa globalna obejmująca wszystkich klientów i serwerów, którzy dołączyli do domeny. |
Administratorzy schematu | Skojarzenie zabezpieczeń | S-1-5-21root domain-518 | Grupa uniwersalna w domenie w trybie natywnym; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian schematu w usłudze Active Directory. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu. |
Administratorzy przedsiębiorstwa | EA | S-1-5-21root domain-519 | Grupa uniwersalna w domenie w trybie natywnym; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian w całej lesie w usłudze Active Directory, takich jak dodawanie domen podrzędnych. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu. |
Właściciele twórców zasad grupy | TATUŚ | S-1-5-21-domain-520 | Grupa globalna, która jest autoryzowana do tworzenia nowych obiektów zasad grupy w usłudze Active Directory. |
Serwery RAS i IAS | RS | S-1-5-21-domain-553 | Grupa lokalna domeny. Domyślnie ta grupa nie ma członków. Serwery serwera dostępu zdalnego (RAS) i usługi uwierzytelniania internetowego (IAS) w tej grupie mają ograniczenia konta odczytu i dostęp do informacji logowania do obiektów użytkownika w grupie lokalnej domeny usługi Active Directory. |
Kontrolery domeny tylko do odczytu przedsiębiorstwa | ED | S-1-5-21-domain-498 | Grupa uniwersalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w przedsiębiorstwie. |
Kontrolery domeny tylko do odczytu | RO | S-1-5-21-domain-521 | Grupa globalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w domenie. |