Selo de Blob de Acréscimo

O objetivo da Append Blob Seal operação é permitir que os utilizadores e as aplicações selem blobs de acréscimo, marcando-os como só de leitura. Este documento descreve as especificações da API REST propostas para esta funcionalidade.

Pedir

Pode construir o pedido da Append Blob Seal seguinte forma. É recomendado HTTPS. Substitua myaccount pelo nome de sua conta de armazenamento.

URI do pedido de método PUT	Versão HTTP
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

Cabeçalhos

Append Blob Sealdevolve cabeçalhos de API comuns ( ETag/LMT hora da última modificação), x-ms-request-id, , content-lengthx-ms-versione .Date Append Blob Seal não altera o ETag/LMT.

Cabeçalho de resposta	Valor	Descrição
x-ms-blob-sealed	verdadeiro/falso	Opcional. Falso por predefinição. Se o blob estiver selado, este cabeçalho será incluído na resposta quando selar e obter propriedades de um blob. Este cabeçalho deve aparecer em GetBlob, GetBlobProperties, AppendBlobSeale ListBlobs para blobs de acréscimo.

Parâmetros de consulta

Não existem parâmetros de URI adicionais.

Corpo do pedido

Nenhum.

Resposta

A resposta inclui um código de estado HTTP e uma lista de cabeçalhos de resposta.

Código de estado

Poderá receber qualquer um dos seguintes códigos de estado:

• 200 (Êxito): o blob está selado. A chamada é idempotente e será bem-sucedida se o blob já estiver selado.

• 409 (InvalidBlobType): o serviço devolve este código de estado se a chamada estiver num blob de página ou blob de blocos existente.

• 404 (BlobNotFound): o serviço devolve este código de estado se a chamada estiver num blob inexistente.

Autorização

A autorização é necessária ao chamar qualquer operação de acesso a dados no Armazenamento do Azure. Pode autorizar a Append Blob Seal operação conforme descrito abaixo.

Importante

A Microsoft recomenda a utilização de Microsoft Entra ID com identidades geridas para autorizar pedidos para o Armazenamento do Azure. Microsoft Entra ID fornece segurança e facilidade de utilização superiores em comparação com a autorização de Chave Partilhada.

Microsoft Entra ID (recomendado)

O Armazenamento do Azure suporta a utilização de Microsoft Entra ID para autorizar pedidos para dados de blobs. Com Microsoft Entra ID, pode utilizar o controlo de acesso baseado em funções do Azure (RBAC do Azure) para conceder permissões a um principal de segurança. O principal de segurança pode ser um utilizador, grupo, principal de serviço de aplicação ou identidade gerida do Azure. O principal de segurança é autenticado por Microsoft Entra ID para devolver um token OAuth 2.0. Em seguida, o token pode ser utilizado para autorizar um pedido contra o serviço Blob.

Para saber mais sobre a autorização através de Microsoft Entra ID, veja Autorizar o acesso a blobs com Microsoft Entra ID.

Permissões

Abaixo estão listadas as ações RBAC necessárias para que um utilizador Microsoft Entra, grupo, identidade gerida ou principal de serviço chame a Append Blob Seal operação e a função RBAC do Azure com menos privilégios que inclua esta ação:

• Ação RBAC do Azure:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Função incorporada com menos privilégios:Contribuidor de Dados de Blobs de Armazenamento

Para saber mais sobre como atribuir funções com o RBAC do Azure, veja Atribuir uma função do Azure para acesso a dados de blobs.

Assinaturas de acesso partilhado (SAS)

Uma assinatura de acesso partilhado (SAS) fornece acesso delegado seguro aos recursos numa conta de armazenamento. Com uma SAS, tem controlo granular sobre como um cliente pode aceder aos dados. Pode especificar o recurso a que o cliente pode aceder, que permissões têm para esses recursos e quanto tempo a SAS é válida.

A Append Blob Seal operação suporta três tipos de assinaturas de acesso partilhado: SAS de delegação de utilizador,SAS de serviço e SAS de conta.

Como melhor prática de segurança, recomendamos que utilize Microsoft Entra credenciais em vez da chave da conta de armazenamento, que podem ser mais facilmente comprometidas. Se a estrutura da aplicação exigir assinaturas de acesso partilhado, utilize Microsoft Entra credenciais para criar uma SAS de delegação de utilizador, sempre que possível.

Quando o acesso à Chave Partilhada não for permitido para a conta de armazenamento, não será permitido um token de SAS de serviço ou um token de SAS de conta num pedido para o Armazenamento de Blobs. Para saber mais, veja Compreender como a desativação da Chave Partilhada afeta os tokens de SAS.

SAS de delegação de utilizadores

Uma SAS de delegação de utilizador é protegida com credenciais de Microsoft Entra e também pelas permissões especificadas para a SAS.

Chamar a Append Blob Seal operação com um token de SAS delegado a um contentor ou recurso de blob requer a permissão Escrever (w) como parte do token SAS de delegação de utilizador.

Para saber mais sobre a SAS de delegação de utilizador, veja Create uma SAS de delegação de utilizador.

SAS de Serviço

Uma SAS de serviço é protegida com a chave da conta de armazenamento. Um serviço SAS delega o acesso a um recurso num único serviço de Armazenamento do Azure, como o armazenamento de blobs.

Chamar a Append Blob Seal operação com um token de SAS delegado a um contentor ou recurso de blob requer a permissão Escrever (w) como parte do token saS do serviço.

Para saber mais sobre a SAS do serviço, veja Create uma SAS de serviço.

SAS de Conta

Uma SAS de conta é protegida com a chave da conta de armazenamento. Uma conta SAS delega o acesso aos recursos em um ou mais dos serviços de armazenamento. Todas as operações disponíveis através de um serviço ou saS de delegação de utilizador também estão disponíveis através de uma SAS de conta.

A tabela seguinte indica o tipo de recurso assinado e as permissões assinadas para especificar ao delegar o acesso:

Operação	Serviço assinado	Tipo de recurso assinado	Permissão assinada
Selo de Blob de Acréscimo	Blob (b)	Objeto (o)	Escrever (w)

Para saber mais sobre a SAS da conta, veja Create uma SAS de conta.

Chave partilhada

A Append Blob Seal operação suporta autorização de Chave Partilhada. A autorização com chaves de conta não é recomendada para a maioria dos cenários, uma vez que é menos segura.

A Microsoft recomenda a desativação da autorização da Chave Partilhada para a conta de armazenamento sempre que possível. Para obter mais informações, veja Impedir autorização com Chave Partilhada.

Observações

Se um blob de acréscimo tiver uma concessão, precisa de um ID de concessão para selar o blob.

Depois de selar um blob, ainda pode atualizar propriedades, etiquetas de índice de blobs e metadados. A eliminação recuperável de um blob selado preserva o estado selado. Pode substituir blobs selados.  

Se tirar um instantâneo de um blob selado, o instantâneo inclui o sinalizador selado. Para instantâneos existentes na nova versão, a Microsoft devolve a propriedade.

Quando copia um blob selado, o sinalizador selado é propagado por predefinição. É exposto um cabeçalho que permite que o sinalizador seja substituído.

Será adicionado um novo elemento XML à resposta, com o ListBlob nome Sealed. O valor pode ser true ou false.

Se chamar AppendBlock um blob que já está selado, o serviço devolve a mensagem de erro apresentada na tabela seguinte. Isto aplica-se a versões mais antigas da API.

Código de erro	Código de estado de HTTP	Mensagem de utilizador
BlobIsSealed	Conflito (409)	O blob especificado é selado e os respetivos conteúdos não podem ser modificados, a menos que o blob seja recriado após uma eliminação.

Se chamar Append Blob Seal um blob de acréscimo que já tenha sido selado, basta ver um código de estado de 200 (Êxito).

Faturação

Os pedidos de preços podem ter origem em clientes que utilizam APIs de Armazenamento de Blobs, diretamente através da API REST do Armazenamento de Blobs ou a partir de uma biblioteca de cliente do Armazenamento do Azure. Estes pedidos acumulam custos por transação. O tipo de transação afeta a forma como a conta é cobrada. Por exemplo, as transações de leitura acumulam-se numa categoria de faturação diferente das transações de escrita. A tabela seguinte mostra a categoria de faturação dos Append Blob Seal pedidos com base no tipo de conta de armazenamento:

Operação	Tipo de conta de armazenamento	Categoria de faturação
Selo de Blob de Acréscimo	Blob de bloco premium Standard para fins gerais v2 Standard para fins gerais v1	Operações de escrita

Para saber mais sobre os preços da categoria de faturação especificada, veja Armazenamento de Blobs do Azure Preços.

Ver também

Armazenamento de Blobs do Azure códigos de erro