Ustawianie zasad niezmienności obiektów blob

Operacja Set Blob Immutability Policy ustawia zasady niezmienności w obiekcie blob. Ta operacja nie aktualizuje elementu ETag obiektu blob. Ten interfejs API jest dostępny w wersji 2020-06-12.

Żądanie

Żądanie Set Blob Immutability Policy można skonstruować w następujący sposób. Zalecamy używanie protokołu HTTPS. Zastąp ciąg myaccount nazwą konta magazynu i obiektem myblob nazwą obiektu blob , dla którego mają zostać zmienione zasady niezmienności.

Metoda	Identyfikator URI żądania	Wersja PROTOKOŁU HTTP
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Parametry identyfikatora URI

W identyfikatorze URI żądania można określić następujące dodatkowe parametry:

Parametr	Opis
snapshot	Opcjonalny. Parametr migawki jest nieprzezroczystą DateTime wartością, która, gdy jest obecna, określa migawkę obiektu blob w celu ustawienia warstwy. Aby uzyskać więcej informacji na temat pracy z migawkami obiektów blob, zobacz Twórca migawkę obiektu blob
versionid	Opcjonalnie dla wersji 2019-12-12 lub nowszej. Parametr versionid jest nieprzezroczystą DateTime wartością, która, gdy jest obecna, określa wersję obiektu blob w celu ustawienia warstwy.
timeout	Opcjonalny. Parametr jest wyrażony timeout w sekundach. Aby uzyskać więcej informacji, zobacz Ustawianie limitów czasu dla operacji usługi Blob Storage.

Nagłówki żądań

Wymagane i opcjonalne nagłówki żądań opisano w poniższej tabeli:

Nagłówek żądania	Opis
Authorization	Wymagane. Określa schemat autoryzacji, nazwę konta magazynu i podpis. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage.
Date lub x-ms-date	Wymagane. Określa dla żądania godzinę w formacie uniwersalnego czasu koordynowanego (UTC). Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage.
x-ms-immutability-policy-until-date	Wymagane. Wskazuje okres przechowywania do daty ustawienia obiektu blob. Jest to data, do której obiekt blob może być chroniony przed modyfikacją lub usunięciem. W przypadku magazynu obiektów blob lub konta ogólnego przeznaczenia w wersji 2 prawidłowe wartości mają format RFC1123. Czasy ostatnie są nieprawidłowe.
x-ms-immutability-policy-mode	Opcjonalny. Jeśli nie zostanie określony, wartość domyślna to Unlocked. Wskazuje tryb zasad niezmienności, który ma być ustawiony na obiekcie blob. W przypadku magazynu obiektów blob lub konta ogólnego przeznaczenia w wersji 2 prawidłowe wartości to Unlocked/Locked. unlocked wskazuje, że użytkownik może zmienić zasady, zwiększając lub zmniejszając okres przechowywania do daty. locked wskazuje, że te działania są zabronione.
x-ms-version	Wymagane dla wszystkich autoryzowanych żądań. Określa wersję operacji do użycia dla tego żądania. Aby uzyskać więcej informacji, zobacz Przechowywanie wersji usług Azure Storage.
x-ms-client-request-id	Opcjonalny. Udostępnia nieprzezroczystą wartość wygenerowaną przez klienta z limitem znaków 1-kibibyte (KiB), który jest rejestrowany w dziennikach podczas konfigurowania rejestrowania. Zdecydowanie zalecamy używanie tego nagłówka do korelowania działań po stronie klienta z żądaniami odbieranymi przez serwer. Aby uzyskać więcej informacji, zobacz Monitorowanie Azure Blob Storage.

Ta operacja obsługuje również używanie nagłówków warunkowych do ustawiania obiektu blob tylko wtedy, gdy zostanie spełniony określony warunek. Aby uzyskać więcej informacji, zobacz Określanie nagłówków warunkowych dla operacji usługi Blob Storage.

Treść żądania

Brak.

Reakcja

Odpowiedź zawiera kod stanu HTTP i zestaw nagłówków odpowiedzi.

Kod stanu

Operacja zakończona powodzeniem zwraca kod stanu 200 (OK).

Aby uzyskać informacje o kodach stanu, zobacz Stan i kody błędów.

Nagłówki odpowiedzi

Odpowiedź na tę operację zawiera poniższe nagłówki. Odpowiedź może również zawierać dodatkowe standardowe nagłówki HTTP. Wszystkie nagłówki standardowe są zgodne ze specyfikacją protokołu HTTP/1.1.

Nagłówek odpowiedzi	Opis
x-ms-request-id	Jednoznacznie identyfikuje wykonane żądanie i może służyć do rozwiązywania problemów z żądaniem. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z operacjami interfejsu API.
x-ms-version	Wskazuje wersję usługi Blob Storage, która została użyta do wykonania żądania. Zwrócono żądania dotyczące wersji 2009-09-19 lub nowszej.
x-ms-client-request-id	Może służyć do rozwiązywania problemów z żądaniami i odpowiadającymi im odpowiedziami. Wartość tego nagłówka jest równa wartości x-ms-client-request-id nagłówka, jeśli znajduje się w żądaniu, a wartość nie zawiera więcej niż 1024 widocznych znaków ASCII. x-ms-client-request-id Jeśli nagłówek nie jest obecny w żądaniu, nie będzie on obecny w odpowiedzi.
x-ms-immutability-policy-until-date	Wskazuje datę przechowywania , która ma zostać ustawiona na obiekcie blob. Jest to data, do której obiekt blob może być chroniony przed modyfikacją lub usunięciem.
x-ms-immutability-policy-mode	Wskazuje tryb zasad niezmienności ustawiony na obiekcie blob. Wartości to unlocked i locked. Wartośćunlocked wskazuje, że użytkownik może zmienić zasady przez zwiększenie lub zmniejszenie okresu przechowywania do daty i locked wskazuje, że te akcje są zabronione.

Autoryzacja

Autoryzacja jest wymagana podczas wywoływania dowolnej operacji dostępu do danych w usłudze Azure Storage. Możesz autoryzować operację zgodnie z Set Blob Immutability Policy poniższym opisem.

Ważne

Firma Microsoft zaleca używanie Tożsamość Microsoft Entra z tożsamościami zarządzanymi w celu autoryzowania żądań do usługi Azure Storage. Tożsamość Microsoft Entra zapewnia doskonałe zabezpieczenia i łatwość użycia w porównaniu z autoryzacją klucza współdzielonego.

Tożsamość Microsoft Entra (zalecane)

Usługa Azure Storage obsługuje używanie Tożsamość Microsoft Entra do autoryzacji żądań do danych obiektów blob. Za pomocą Tożsamość Microsoft Entra możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby udzielić uprawnień podmiotowi zabezpieczeń. Podmiot zabezpieczeń może być użytkownikiem, grupą, jednostką usługi aplikacji lub tożsamością zarządzaną platformy Azure. Podmiot zabezpieczeń jest uwierzytelniany przez Tożsamość Microsoft Entra w celu zwrócenia tokenu OAuth 2.0. Token może następnie służyć do autoryzowania żądania względem usługi Blob Service.

Aby dowiedzieć się więcej na temat autoryzacji przy użyciu Tożsamość Microsoft Entra, zobacz Autoryzowanie dostępu do obiektów blob przy użyciu Tożsamość Microsoft Entra.

Uprawnienia

Poniżej przedstawiono akcję RBAC niezbędną do Microsoft Entra użytkownika, grupy, tożsamości zarządzanej lub jednostki usługi w celu wywołania Set Blob Immutability Policy operacji oraz najmniej uprzywilejowanej wbudowanej roli RBAC platformy Azure, która obejmuje tę akcję:

• Akcja RBAC platformy Azure:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
• Najmniej uprzywilejowana wbudowana rola:Właściciel danych obiektu blob usługi Storage

Aby dowiedzieć się więcej na temat przypisywania ról przy użyciu kontroli dostępu opartej na rolach platformy Azure, zobacz Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych obiektów blob.

Sygnatury dostępu współdzielonego (SAS)

Sygnatura dostępu współdzielonego (SAS) zapewnia bezpieczny delegowany dostęp do zasobów na koncie magazynu. Dzięki sygnaturze dostępu współdzielonego masz szczegółową kontrolę nad sposobem uzyskiwania dostępu do danych przez klienta. Możesz określić zasób, do którego zasobu może uzyskiwać dostęp klient, jakie uprawnienia mają do tych zasobów oraz jak długo sygnatura dostępu współdzielonego jest prawidłowa.

Operacja Set Blob Immutability Policy obsługuje trzy typy sygnatur dostępu współdzielonego: sygnatury dostępu współdzielonego delegowania użytkownika, sygnatury dostępu współdzielonego usługi i sygnatury dostępu współdzielonego konta.

Najlepszym rozwiązaniem w zakresie zabezpieczeń jest użycie poświadczeń Microsoft Entra zamiast klucza konta magazynu, co może być łatwiejsze w przypadku naruszenia zabezpieczeń. Jeśli projekt aplikacji wymaga sygnatur dostępu współdzielonego, użyj poświadczeń Microsoft Entra, aby utworzyć sygnaturę dostępu współdzielonego delegowania użytkownika, jeśli jest to możliwe.

Jeśli dostęp do klucza współużytkowanego jest niedozwolony dla konta magazynu, token SAS usługi lub token SAS konta nie będzie dozwolony na żądanie do usługi Blob Storage. Aby dowiedzieć się więcej, zobacz Understand how dis disallowing Shared Key affects SAS tokens (Informacje o tym, jak uniemożliwić korzystanie z klucza współużytkowanego wpływa na tokeny SAS).

Sygnatura dostępu współdzielonego delegowania użytkownika

Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu Microsoft Entra poświadczeń, a także przez uprawnienia określone dla sygnatury dostępu współdzielonego.

Set Blob Immutability Policy Wywołanie operacji przy użyciu tokenu SAS delegowanego do kontenera lub zasobu obiektu blob wymaga uprawnienia magazynu niezmiennego (i) w ramach tokenu SAS delegowania użytkownika.

Aby dowiedzieć się więcej na temat sygnatury dostępu współdzielonego delegowania użytkownika, zobacz Twórca sygnaturę dostępu współdzielonego delegowania użytkownika.

Sygnatura dostępu współdzielonego usługi

Sygnatura dostępu współdzielonego usługi jest zabezpieczona przy użyciu klucza konta magazynu. Sygnatura dostępu współdzielonego usługi deleguje dostęp do zasobu w jednej usłudze Azure Storage, takiej jak magazyn obiektów blob.

Set Blob Immutability Policy Wywołanie operacji przy użyciu tokenu SAS delegowanego do kontenera lub zasobu obiektu blob wymaga uprawnienia magazynu niezmiennego (i) w ramach tokenu SAS usługi.

Aby dowiedzieć się więcej na temat sygnatury dostępu współdzielonego usługi, zobacz Twórca sygnaturę dostępu współdzielonego usługi.

Sygnatura dostępu współdzielonego konta

Sygnatura dostępu współdzielonego konta jest zabezpieczona za pomocą klucza konta magazynu. Sygnatura dostępu współdzielonego konta deleguje dostęp do zasobu w co najmniej jednej usłudze magazynu. Wszystkie operacje dostępne za pośrednictwem sygnatury dostępu współdzielonego delegowania usługi lub użytkownika są również dostępne za pośrednictwem sygnatury dostępu współdzielonego konta.

W poniższej tabeli przedstawiono typ podpisanego zasobu i podpisane uprawnienia do określania podczas delegowania dostępu:

Operacja	Podpisana usługa	Typ zasobu podpisanego	Podpisane uprawnienie
Ustawianie zasad niezmienności obiektów blob	Obiekt blob (b)	Obiekt (o)	Niezmienny magazyn (i)

Aby dowiedzieć się więcej na temat sygnatury dostępu współdzielonego konta, zobacz Twórca sygnaturę dostępu współdzielonego konta.

Klucz wspólny

Operacja Set Blob Immutability Policy obsługuje autoryzację klucza wspólnego. Autoryzacja przy użyciu kluczy kont nie jest zalecana w przypadku większości scenariuszy, ponieważ jest mniej bezpieczna.

Firma Microsoft zaleca uniemożliwienie autoryzacji klucza współużytkowanego dla konta magazynu, jeśli jest to możliwe. Aby uzyskać więcej informacji, zobacz Zapobieganie autoryzacji za pomocą klucza wspólnego.

Uwagi

Ustawienie zasad niezmienności obiektu blob na koncie magazynu obiektów blob lub ogólnego przeznaczenia w wersji 2 ma następujące ograniczenia:

• Ustawienie zasad niezmienności dla migawki lub wersji jest dozwolone od wersji REST 2020-06-12.
• Gdy zasady niezmienności są w unlocked trybie, użytkownicy mogą aktualizować okres przechowywania do daty. Gdy zasady niezmienności są w locked trybie, użytkownicy mogą przedłużyć okres przechowywania tylko do daty. Tryb zasad niezmienności można zmienić z unlocked na locked, ale nie z locked na unlocked.
• Jeśli w obiekcie blob istnieją zasady niezmienności i istnieją również domyślne zasady niezmienności w kontenerze lub koncie, zasady niezmienności obiektu blob mają pierwszeństwo.
• W przypadku zasad niezmienności na poziomie obiektu blob operacje są dozwolone, PutBlockList/PutBlob/CopyBlob ponieważ te operacje generują nową wersję.
• Gdy zasady niezmienności są w unlocked trybie, użytkownicy mogą usunąć zasady niezmienności przy użyciu następującego interfejsu API:

Metoda	Identyfikator URI żądania	Wersja PROTOKOŁU HTTP
Delete	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Uwaga

Aby uzyskać więcej informacji, zobacz Niezmienny magazyn.

Rozliczenia

Żądania cen mogą pochodzić od klientów korzystających z interfejsów API usługi Blob Storage bezpośrednio za pośrednictwem interfejsu API REST usługi Blob Storage lub biblioteki klienta usługi Azure Storage. Te żądania naliczają opłaty za transakcję. Typ transakcji wpływa na sposób naliczania opłat za konto. Na przykład transakcje odczytu są naliczane w innej kategorii rozliczeniowej niż transakcje zapisu. W poniższej tabeli przedstawiono kategorię rozliczeń dla Set Blob Immutability Policy żądań na podstawie typu konta magazynu:

Operacja	Typ konta magazynu	Kategoria rozliczeń
Ustawianie zasad niezmienności obiektów blob	Blokowy obiekt blob w warstwie Premium Standardowa ogólnego przeznaczenia, wersja 2 Standardowa ogólnego przeznaczenia, wersja 1	Inne operacje

Aby dowiedzieć się więcej o cenach dla określonej kategorii rozliczeniowej, zobacz Azure Blob Storage Cennik.

Zobacz też

Autoryzowanie żądań do usługi Azure Storage
Kody stanu i błędów
Kody błędów usługi Blob Storage
Ustawianie limitów czasu dla operacji usługi Blob Storage