Obter ACL de contêiner

A operação Get Container ACL obtém as permissões para o contêiner especificado. As permissões indicam se os dados do contêiner podem ser acessados publicamente.

A partir da versão 2009-09-19, as permissões de contêiner fornecem as seguintes opções para gerenciar o acesso ao contêiner:

• acesso de leitura público completo: dados de contêiner e blob podem ser lidos por meio de solicitação anônima. Os clientes podem enumerar blobs dentro do contêiner por meio de solicitação anônima, mas não podem enumerar contêineres dentro da conta de armazenamento.

• acesso público de leitura para blobs apenas: os dados de blob dentro desse contêiner podem ser lidos por meio de solicitação anônima, mas os dados do contêiner não estão disponíveis. Os clientes não podem enumerar blobs dentro do contêiner por meio de solicitação anônima.

• Nenhumpúblico de acesso de leitura: dados de contêiner e blob podem ser lidos apenas pelo proprietário da conta.

Get Container ACL também retorna detalhes sobre as políticas de acesso no nível do contêiner especificadas no contêiner que podem ser usadas com assinaturas de acesso compartilhado. Para obter mais informações, consulte Definir uma política de acesso armazenada.

Todo o acesso público ao contêiner é anônimo, assim como o acesso por meio de uma assinatura de acesso compartilhado.

Pedir

A solicitação Get Container ACL pode ser construída da seguinte maneira. Recomendamos que você use HTTPS. Substitua myaccount pelo nome da sua conta de armazenamento:

Método	URI de solicitação	Versão HTTP
GET/HEAD	https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl	HTTP/1.1

Solicitação de serviço de armazenamento emulado

Ao fazer uma solicitação no serviço de armazenamento emulado, especifique o nome do host do emulador e a porta de Armazenamento de Blobs como 127.0.0.1:10000, seguido pelo nome da conta de armazenamento emulado:

Método	URI de solicitação	Versão HTTP
GET/HEAD	http://127.0.0.1:10000/devstoreaccount1/mycontainer?restype=container&comp=acl	HTTP/1.1

Para obter mais informações, consulte Usar o emulador do Azurite paralocais de desenvolvimento do Armazenamento do Azure.

Parâmetros de URI

Os seguintes parâmetros adicionais podem ser especificados no URI da solicitação:

Parâmetro	Descrição
timeout	Opcional. O parâmetro timeout é expresso em segundos. Para obter mais informações, consulte Definir tempos limite para operações de Armazenamento de Blobs.

Solicitar códigos de erro

Os cabeçalhos de solicitação obrigatórios e opcionais são descritos na tabela a seguir:

Cabeçalho de solicitação	Descrição
Authorization	Necessário. Especifica o esquema de autorização, o nome da conta e a assinatura. Para obter mais informações, consulte Autorizar solicitações para o Armazenamento do Azure.
Date ou x-ms-date	Necessário. Especifica o UTC (Tempo Universal Coordenado) para a solicitação. Para obter mais informações, consulte Autorizar solicitações para o Armazenamento do Azure.
x-ms-lease-id: <ID>	Opcional, versão 2012-02-12 e posterior. Se for especificado, Get Container ACL terá êxito somente se a concessão do contêiner estiver ativa e corresponder a essa ID. Se não houver nenhuma concessão ativa ou a ID não corresponder, 412 (Precondition Failed) será retornado.
x-ms-version	Necessário para todas as solicitações autorizadas. Especifica a versão da operação a ser usada para essa solicitação. Para obter mais informações, consulte Controle de versão para os serviços de Armazenamento do Azure.
x-ms-client-request-id	Opcional. Fornece um valor opaco gerado pelo cliente com um limite de caracteres kib (1 kibibyte) que é registrado nos logs quando o registro em log é configurado. É altamente recomendável que você use esse cabeçalho para correlacionar atividades do lado do cliente com solicitações recebidas pelo servidor. Para obter mais informações, consulte Monitorar o Armazenamento de Blobs do Azure.

Corpo da solicitação

Nenhum.

Resposta

A resposta inclui um código de status HTTP, um conjunto de cabeçalhos de resposta e um corpo de resposta.

Código de status

Uma operação bem-sucedida retorna o código de status 200 (OK).

Para obter informações sobre códigos de status, consulte Status e códigos de erro.

Códigos de erro de resposta

A resposta dessa operação inclui os cabeçalhos a seguir. A resposta também pode incluir cabeçalhos HTTP padrão adicionais. Todos os cabeçalhos padrão estão em conformidade com a especificação de protocolo HTTP/1.1 .

Cabeçalho de resposta	Descrição
x-ms-blob-public-access	Indica se os dados no contêiner podem ser acessados publicamente e o nível de acesso. Os valores possíveis incluem: - container: indica o acesso de leitura público completo para dados de contêiner e blob. Os clientes podem enumerar blobs dentro do contêiner por meio de solicitação anônima, mas não podem enumerar contêineres dentro da conta de armazenamento. - blob: Indica o acesso de leitura público para blobs. Os dados de blob dentro desse contêiner podem ser lidos por meio de solicitação anônima, mas os dados do contêiner não estão disponíveis. Os clientes não podem enumerar blobs dentro do contêiner por meio de solicitação anônima. - true: versões anteriores somente a 2016-05-31. Indica que o contêiner foi marcado para acesso de leitura público completo usando uma versão anterior a 2009-09-19. A partir da versão 2016-05-31, esse valor é retornado como container. Se esse cabeçalho não for retornado na resposta, o contêiner será privado para o proprietário da conta.
ETag	A marca de entidade do contêiner. Se a versão da solicitação for 2011-08-18 ou posterior, o valor ETag será colocado entre aspas.
Last-Modified	Retorna a data e a hora em que o contêiner foi modificado pela última vez. O formato de data segue o RFC 1123. Para obter mais informações, consulte Representar valores de data/hora em códigos de erro. Qualquer operação que modifique o contêiner ou suas propriedades ou metadados atualiza a hora da última modificação. As operações em blobs não afetam a hora da última modificação do contêiner.
x-ms-request-id	Identifica exclusivamente a solicitação que foi feita e pode ser usada para solucionar problemas da solicitação. Para obter mais informações, consulte Solucionar problemas de operações de API.
x-ms-version	Indica a versão do serviço usada para executar a solicitação. Esse cabeçalho é retornado para solicitações que foram feitas na versão 2009-09-19 e posterior.
Date	Um valor de data/hora UTC gerado pelo serviço, que indica a hora em que a resposta foi iniciada.
x-ms-client-request-id	Pode ser usado para solucionar problemas de solicitações e suas respostas correspondentes. O valor desse cabeçalho é igual ao valor do cabeçalho x-ms-client-request-id se ele estiver presente na solicitação e o valor não contiver mais de 1.024 caracteres ASCII visíveis. Se o cabeçalho x-ms-client-request-id não estiver presente na solicitação, esse cabeçalho não estará presente na resposta.

Corpo da resposta

Se uma política de acesso no nível de contêiner tiver sido especificada para o contêiner, Get Container ACL retornará o identificador assinado e a política de acesso no corpo da resposta.

<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>  
    <Id>unique-value</Id>  
    <AccessPolicy>  
      <Start>start-time</Start>  
      <Expiry>expiry-time</Expiry>  
      <Permission>abbreviated-permission-list</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  

Resposta de exemplo

Response Status:  
HTTP/1.1 200 OK  
  
Response Headers:  
Transfer-Encoding: chunked  
x-ms-blob-public-access: container  
Date: Sun, 25 Sep 2011 20:28:22 GMT  
ETag: "0x8CAFB82EFF70C46"  
Last-Modified: Sun, 25 Sep 2011 19:42:18 GMT  
x-ms-version: 2011-08-18  
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0  
  
<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>  
    <AccessPolicy>  
      <Start>2009-09-28T08:49:37.0000000Z</Start>  
      <Expiry>2009-09-29T08:49:37.0000000Z</Expiry>  
      <Permission>rwd</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

Autorização

A autorização é necessária ao chamar qualquer operação de acesso a dados no Armazenamento do Azure. Você pode autorizar a operação de Get Container ACL, conforme descrito abaixo.

Importante

A Microsoft recomenda usar a ID do Microsoft Entra com identidades gerenciadas para autorizar solicitações ao Armazenamento do Azure. A ID do Microsoft Entra fornece segurança superior e facilidade de uso em comparação com a autorização de Chave Compartilhada.

a ID do Microsoft Entra (recomendada)

O Armazenamento do Azure dá suporte ao uso da ID do Microsoft Entra para autorizar solicitações para dados de blob. Com a ID do Microsoft Entra, você pode usar o RBAC (controle de acesso baseado em função) do Azure para conceder permissões a uma entidade de segurança. A entidade de segurança pode ser um usuário, grupo, entidade de serviço de aplicativo ou identidade gerenciada do Azure. A entidade de segurança é autenticada pela ID do Microsoft Entra para retornar um token OAuth 2.0. Em seguida, o token pode ser usado para autorizar uma solicitação no serviço Blob.

Para saber mais sobre a autorização usando a ID do Microsoft Entra, consulte Autorizar o acesso a blobs usando a ID do Microsoft Entra.

Permissões

Veja abaixo a ação RBAC necessária para que um usuário, grupo, identidade gerenciada ou entidade de serviço do Microsoft Entra chame a operação Get Container ACL e a função rbac interna do Azure com menos privilégios que inclua esta ação:

• ação RBAC do Azure:Microsoft.Storage/storageAccounts/blobServices/containers/getAcl/action
• função interna com privilégios mínimos:proprietário de dados de blob de armazenamento

Para saber mais sobre como atribuir funções usando o RBAC do Azure, consulte Atribuir uma função do Azure para acesso a dados de blob.

chave compartilhada

A operação Get Container ACL dá suporte a de autorização de chave compartilhada. A autorização com chaves de conta não é recomendada para a maioria dos cenários, pois é menos segura.

A Microsoft recomenda não permitir a autorização de Chave Compartilhada para a conta de armazenamento quando possível. Para obter mais informações, consulte Impedir autorização com a chave compartilhada.

Observações

Nenhum. Consulte informações de cobrança para obter detalhes sobre como essa operação afeta os custos.

Faturamento

As solicitações de preços podem ser originadas de clientes que usam APIs de Armazenamento de Blobs, diretamente por meio da API REST do Armazenamento de Blobs ou de uma biblioteca de clientes do Armazenamento do Azure. Essas solicitações acumulam encargos por transação. O tipo de transação afeta a forma como a conta é cobrada. Por exemplo, as transações de leitura se acumulam em uma categoria de cobrança diferente das transações de gravação. A tabela a seguir mostra a categoria de cobrança para solicitações Get Container ACL com base no tipo de conta de armazenamento:

Operação	Tipo de conta de armazenamento	Categoria de cobrança
Obter ACL de contêiner	Blob de blocos Premium Uso geral padrão v2	Outras operações
Obter ACL de contêiner	Uso geral padrão v1	Operações de leitura

Para saber mais sobre os preços da categoria de cobrança especificada, consulte de Preços do Armazenamento de Blobs do Azure.

Consulte também

Restringir o acesso a contêineres e blobs
Definir uma política de acesso armazenada
definir de ACL do contêiner
autorizar solicitações para o Armazenamento do Azure
status e códigos de erro
códigos de erro do Armazenamento de Blobs