Udostępnij za pośrednictwem


Tworzenie uprawnienia

Operacja Create Permission tworzy uprawnienie (deskryptor zabezpieczeń) na poziomie udziału. Możesz użyć utworzonego deskryptora zabezpieczeń dla plików i katalogów w udziale. Ten interfejs API jest dostępny w wersji 2019-02-02.

Dostępność protokołu

Włączony protokół udziału plików Dostępny
SMB Tak
NFS nie

Prosić

Możesz skonstruować żądanie Create Permission, jak pokazano tutaj. Zalecamy używanie protokołu HTTPS.

Metoda Identyfikator URI żądania Wersja PROTOKOŁU HTTP
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Zastąp składniki ścieżki wyświetlane w identyfikatorze URI żądania własnymi składnikami, jak pokazano poniżej:

Składnik ścieżki Opis
myaccount Nazwa konta magazynu.
myshare Nazwa udziału plików. Nazwa może zawierać tylko małe litery.

Aby uzyskać informacje o ograniczeniach nazewnictwa ścieżek, zobacz Nazwa i dokumentacja udziałów, katalogów, plików i metadanych.

Parametry identyfikatora URI

Możesz określić dodatkowe parametry dla identyfikatora URI żądania, jak pokazano tutaj:

Parametr Opis
timeout Fakultatywny. Parametr timeout jest wyrażony w sekundach. Aby uzyskać więcej informacji, zobacz Ustawianie limitów czasu dla operacji usługi kolejkowania.

Nagłówki żądań

Wymagane i opcjonalne nagłówki żądań zostały opisane w poniższej tabeli:

Nagłówek żądania Opis
Authorization Wymagane. Określa schemat autoryzacji, nazwę konta magazynu i podpis. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage.
Date lub x-ms-date Wymagane. Określa uniwersalny czas koordynowany (UTC) dla żądania. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage.
x-ms-version Fakultatywny. Określa wersję operacji do użycia dla tego żądania. Aby uzyskać więcej informacji, zobacz Versioning for Azure Storage services.
x-ms-client-request-id Fakultatywny. Zapewnia nieprzezroczystą wartość wygenerowaną przez klienta z limitem znaków 1-kibibyte (KiB), który jest rejestrowany w dziennikach podczas konfigurowania rejestrowania. Zdecydowanie zalecamy używanie tego nagłówka do korelowania działań po stronie klienta z żądaniami odbieranymi przez serwer. Aby uzyskać więcej informacji, zobacz Monitor Azure Files.
x-ms-file-request-intent Wymagane, jeśli nagłówek Authorization określa token OAuth. Akceptowalna wartość to backup. Ten nagłówek określa, że Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action lub Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action należy przyznać, jeśli są one uwzględnione w zasadach RBAC przypisanych do tożsamości autoryzowanej przy użyciu nagłówka Authorization. Dostępne dla wersji 2022-11-02 lub nowszej.

Treść żądania

Deskryptor zabezpieczeń jest tworzony przez umieszczenie obiektu JSON w treści żądania. Obiekt JSON może mieć następujące pola:

Klucz JSON Opis
permission Wymagane. Uprawnienie w Security Descriptor Definition Language (SDDL) lub (wersja 2024-11-04 lub nowsza) w formacie base64 zakodowanym binarnym deskryptorze zabezpieczeń. Deskryptor zabezpieczeń musi mieć właściciela, grupę i uznaniową listę kontroli dostępu (DACL).
format Fakultatywny. Wersja 2024-11-04 lub nowsza. Opisuje format uprawnienia podanego w permission. Jeśli to pole jest zdefiniowane, należy ustawić wartość "sddl" lub "binary". W przypadku pominięcia zostanie użyta wartość domyślna "sddl".

W przypadku korzystania z języka SDDL format ciągu SDDL deskryptora zabezpieczeń nie powinien mieć identyfikatora względnego domeny (na przykład DU, DA lub DD).

{
    "permission": "<SDDL>"
}

W wersji 2024-11-04 lub nowszej można opcjonalnie jawnie określić, czy uprawnienie ma format SDDL:

{
    "format": "sddl",
    "permission": "<SDDL>"
}

W wersji 2024-11-04 lub nowszej można również utworzyć uprawnienie w formacie binarnym zakodowanym w formacie base-64. W takim przypadku należy jawnie określić, że format jest "binary".

{
    "format": "binary",
    "permission": "<base64>"
}

Przykładowe żądanie

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Odpowiedź

Odpowiedź zawiera kod stanu HTTP i zestaw nagłówków odpowiedzi.

Kod stanu

Pomyślna operacja zwraca kod stanu 201 (Utworzono).

Aby uzyskać informacje o kodach stanu, zobacz Stan i kody błędów.

Nagłówki odpowiedzi

Odpowiedź dla tej operacji zawiera następujące nagłówki. Odpowiedź może również zawierać dodatkowe standardowe nagłówki HTTP. Wszystkie standardowe nagłówki są zgodne ze specyfikacją protokołu HTTP/1.1 .

Nagłówek odpowiedzi Opis
x-ms-request-id Unikatowo identyfikuje żądanie, które zostało wykonane, i można go użyć do rozwiązywania problemów z żądaniem.
x-ms-version Wskazuje wersję usługi Azure Files, która została użyta do wykonania żądania.
Date lub x-ms-date Wartość daty/godziny UTC wygenerowana przez usługę i wskazująca godzinę zainicjowania odpowiedzi.
x-ms-file-permission-key Klucz utworzonego uprawnienia.
x-ms-client-request-id Może służyć do rozwiązywania problemów z żądaniami i odpowiadającymi im odpowiedziami. Wartość tego nagłówka jest równa wartości nagłówka x-ms-client-request-id, jeśli znajduje się w żądaniu, a wartość nie zawiera więcej niż 1024 widocznych znaków ASCII. Jeśli nagłówek x-ms-client-request-id nie znajduje się w żądaniu, nie jest obecny w odpowiedzi.

Treść odpowiedzi

Żaden.

Autoryzacja

Tylko właściciel konta lub obiekt wywołujący, który ma sygnaturę dostępu współdzielonego na poziomie udziału z autoryzacją zapisu i usuwania, może wywołać tę operację.

Uwagi

Aby format SDDL był przenośny na maszynach domenowych i nieprzyłączonych do domeny, obiekt wywołujący może użyć ConvertSecurityDescriptorToStringSecurityDescriptor funkcji systemu Windows, aby uzyskać podstawowy ciąg SDDL deskryptora zabezpieczeń. Obiekt wywołujący może następnie zastąpić notację SDDL wymienioną w poniższej tabeli poprawną wartością identyfikatora SID.

Nazwa Notacja SDDL Wartość identyfikatora SID Opis
Administrator lokalny LA S-1-5-21-domain-500 Konto użytkownika administratora systemu. Domyślnie jest to jedyne konto użytkownika, które ma pełną kontrolę nad systemem.
Goście lokalni LG S-1-5-21-domain-501 Konto użytkownika dla osób, które nie mają indywidualnych kont. To konto użytkownika nie wymaga hasła. Domyślnie konto gościa jest wyłączone.
Wydawcy certyfikatów CA S-1-5-21-domain-517 Grupa globalna obejmująca wszystkie komputery z uruchomionym urzędem certyfikacji przedsiębiorstwa. Wydawcy certyfikatów są autoryzowani do publikowania certyfikatów dla obiektów użytkownika w usłudze Active Directory.
Administratorzy domeny DA S-1-5-21-domain-512 Grupa globalna, której członkowie mają uprawnienia do administrowania domeną. Domyślnie grupa Administratorzy domeny jest członkiem grupy Administratorzy na wszystkich komputerach, które dołączyły do domeny, w tym kontrolerów domeny. Administratorzy domeny są domyślnym właścicielem dowolnego obiektu utworzonego przez dowolnego członka grupy.
Kontrolery domeny DD S-1-5-21-domain-516 Grupa globalna obejmująca wszystkie kontrolery domeny w domenie. Nowe kontrolery domeny są domyślnie dodawane do tej grupy.
Użytkownicy domeny DU S-1-5-21-domain-513 Grupa globalna, która domyślnie zawiera wszystkie konta użytkowników w domenie. Podczas tworzenia konta użytkownika w domenie konto jest domyślnie dodawane do tej grupy.
Goście domeny DG S-1-5-21-domain-514 Grupa globalna, która domyślnie ma tylko jeden element członkowski, wbudowane konto gościa domeny.
Komputery domeny DC S-1-5-21-domain-515 Grupa globalna obejmująca wszystkich klientów i serwerów, którzy dołączyli do domeny.
Administratorzy schematu Skojarzenie zabezpieczeń S-1-5-21root domain-518 Grupa uniwersalna w domenie w trybie natywnym; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian schematu w usłudze Active Directory. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu.
Administratorzy przedsiębiorstwa EA S-1-5-21root domain-519 Grupa uniwersalna w domenie w trybie natywnym; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian w całej lesie w usłudze Active Directory, takich jak dodawanie domen podrzędnych. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu.
Właściciele twórców zasad grupy TATUŚ S-1-5-21-domain-520 Grupa globalna, która jest autoryzowana do tworzenia nowych obiektów zasad grupy w usłudze Active Directory.
Serwery RAS i IAS RS S-1-5-21-domain-553 Grupa lokalna domeny. Domyślnie ta grupa nie ma członków. Serwery serwera dostępu zdalnego (RAS) i usługi uwierzytelniania internetowego (IAS) w tej grupie mają ograniczenia konta odczytu i dostęp do informacji logowania do obiektów użytkownika w grupie lokalnej domeny usługi Active Directory.
Kontrolery domeny tylko do odczytu przedsiębiorstwa ED S-1-5-21-domain-498 Grupa uniwersalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w przedsiębiorstwie.
Kontrolery domeny tylko do odczytu RO S-1-5-21-domain-521 Grupa globalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w domenie.