Criar permissão
A operação Create Permission cria uma permissão (um descritor de segurança) no nível de compartilhamento. Você pode usar o descritor de segurança criado para os arquivos e diretórios no compartilhamento. Esta API está disponível a partir da versão 2019-02-02.
Disponibilidade do protocolo
| Protocolo de compartilhamento de arquivos habilitado | Disponível |
|---|---|
| PME |
|
| NFS |
|
Solicitar
Você pode construir a solicitação de Create Permission como mostrado aqui. Recomendamos que você use HTTPS.
| Método | Solicitar URI | Versão HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Substitua os componentes de caminho mostrados no URI de solicitação por seus próprios componentes, conforme mostrado aqui:
| Componente Caminho | Descrição |
|---|---|
myaccount |
O nome da sua conta de armazenamento. |
myshare |
O nome do seu compartilhamento de arquivos. O nome pode conter apenas caracteres minúsculos. |
Para obter informações sobre restrições de nomenclatura de caminho, consulte Compartilhamentos de nome e referência, diretórios, arquivos e metadados.
Parâmetros de URI
Você pode especificar parâmetros adicionais no URI da solicitação, conforme mostrado aqui:
| Parâmetro | Descrição |
|---|---|
timeout |
Opcional. O parâmetro timeout é expresso em segundos. Para obter mais informações, consulte Definir tempos limite para operações de serviço de fila. |
Cabeçalhos de solicitação
Os cabeçalhos de solicitação obrigatórios e opcionais são descritos na tabela a seguir:
| Cabeçalho da solicitação | Descrição |
|---|---|
Authorization |
Necessário. Especifica o esquema de autorização, o nome da conta de armazenamento e a assinatura. Para obter mais informações, consulte Autorizar solicitações para o Armazenamento do Azure. |
Date ou x-ms-date |
Necessário. Especifica o Tempo Universal Coordenado (UTC) para a solicitação. Para obter mais informações, consulte Autorizar solicitações para o Armazenamento do Azure. |
x-ms-version |
Opcional. Especifica a versão da operação a ser usada para essa solicitação. Para obter mais informações, consulte Versionamento para serviços de Armazenamento do Azure. |
x-ms-client-request-id |
Opcional. Fornece um valor opaco gerado pelo cliente com um limite de caracteres de 1 kibibyte (KiB) que é registrado nos logs quando o log é configurado. É altamente recomendável que você use esse cabeçalho para correlacionar atividades do lado do cliente com solicitações que o servidor recebe. Para obter mais informações, consulte Monitorar arquivos do Azure. |
x-ms-file-request-intent |
Obrigatório se Authorization cabeçalho especificar um token OAuth. O valor aceitável é backup. Este cabeçalho especifica que os Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action ou Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action devem ser concedidos se forem incluídos na política RBAC atribuída à identidade autorizada usando o cabeçalho Authorization. Disponível para a versão 2022-11-02 e posterior. |
Corpo do pedido
Você cria um descritor de segurança colocando um objeto JSON no corpo da solicitação. O objeto JSON pode ter os seguintes campos:
| Chave JSON | Descrição |
|---|---|
permission |
Necessário. Permissão no |
format |
Opcional. Versão 2024-11-04 ou posterior. Descreve o formato da permissão fornecida no permission. Se definido, este campo deve ser definido como "sddl" ou "binary". Se omitido, o padrão de "sddl" é usado. |
Se estiver usando SDDL, o formato de cadeia de caracteres SDDL do descritor de segurança não deve ter um identificador relativo de domínio (por exemplo, DU, DA ou DD) nele.
{
"permission": "<SDDL>"
}
Na versão 2024-11-04 ou posterior, você pode, opcionalmente, especificar explicitamente que a permissão está no formato SDDL:
{
"format": "sddl",
"permission": "<SDDL>"
}
Na versão 2024-11-04 ou posterior, você também pode criar uma permissão no formato binário codificado em base 64. Nesse caso, você deve especificar explicitamente que o formato é "binary".
{
"format": "binary",
"permission": "<base64>"
}
Pedido de amostra
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Resposta
A resposta inclui um código de status HTTP e um conjunto de cabeçalhos de resposta.
Código de status
Uma operação bem-sucedida retorna o código de status 201 (Criado).
Para obter informações sobre códigos de status, consulte Códigos de status e de erro.
Cabeçalhos de resposta
A resposta para esta operação inclui os seguintes cabeçalhos. A resposta também pode incluir cabeçalhos HTTP padrão adicionais. Todos os cabeçalhos padrão estão em conformidade com a especificação do protocolo HTTP/1.1.
| Cabeçalho da resposta | Descrição |
|---|---|
x-ms-request-id |
Identifica exclusivamente a solicitação que foi feita e você pode usá-la para solucionar problemas da solicitação. |
x-ms-version |
Indica a versão dos Arquivos do Azure que foi usada para executar a solicitação. |
Date ou x-ms-date |
Um valor de data/hora UTC gerado pelo serviço e que indica a hora em que a resposta foi iniciada. |
x-ms-file-permission-key |
A chave da permissão criada. |
x-ms-client-request-id |
Pode ser usado para solucionar problemas de solicitações e suas respostas correspondentes. O valor desse cabeçalho é igual ao valor do cabeçalho x-ms-client-request-id se ele estiver presente na solicitação e o valor não contiver mais de 1.024 caracteres ASCII visíveis. Se o cabeçalho x-ms-client-request-id não estiver presente na solicitação, ele não estará presente na resposta. |
Corpo de resposta
Nenhuma.
Autorização
Somente o proprietário da conta ou um chamador que tenha uma assinatura de acesso compartilhado em nível de compartilhamento com autorização de gravação e exclusão pode chamar essa operação.
Comentários
Para tornar o formato SDDL portátil entre máquinas associadas a domínios e não pertencentes a domínios, o chamador pode usar a função ConvertSecurityDescriptorToStringSecurityDescriptor Windows para obter a cadeia de caracteres SDDL base para o descritor de segurança. O chamador pode então substituir a notação SDDL listada na tabela a seguir pelo valor SID correto.
| Designação | Notação SDDL | Valor do SID | Descrição |
|---|---|---|---|
| Administrador Local | AL | S-1-5-21-domínio-500 | Uma conta de usuário para o administrador do sistema. Por padrão, é a única conta de usuário que tem controle total sobre o sistema. |
| Hóspedes Locais | LG | S-1-5-21-domínio-501 | Uma conta de utilizador para pessoas que não têm contas individuais. Esta conta de utilizador não requer uma palavra-passe. Por padrão, a conta Convidado está desativada. |
| Editores de certificados | AC | S-1-5-21-domínio-517 | Um grupo global que inclui todos os computadores que executam uma autoridade de certificação corporativa. Os Editores de Certificados estão autorizados a publicar certificados para objetos de Usuário no Ative Directory. |
| Administradores de Domínio | DA | S-1-5-21-domínio-512 | Um grupo global cujos membros estão autorizados a administrar o domínio. Por padrão, o grupo Administradores do Domínio é membro do grupo Administradores em todos os computadores que ingressaram em um domínio, incluindo os Controladores de Domínio. Administradores de Domínio é o proprietário padrão de qualquer objeto criado por qualquer membro do grupo. |
| Controladores de domínio | DD | S-1-5-21-domínio-516 | Um grupo global que inclui todos os Controladores de Domínio no domínio. Novos controladores de domínio são adicionados a esse grupo por padrão. |
| Utilizadores do Domínio | DU | S-1-5-21-domínio-513 | Um grupo global que, por padrão, inclui todas as contas de usuário em um domínio. Quando você cria uma conta de usuário em um domínio, a conta é adicionada a esse grupo por padrão. |
| Convidados do Domínio | DG | S-1-5-21-domínio-514 | Um grupo global que, por padrão, tem apenas um membro, a conta de convidado interna do domínio. |
| Computadores de Domínio | CC | S-1-5-21-domínio-515 | Um grupo global que inclui todos os clientes e servidores que ingressaram no domínio. |
| Administradores de esquema | SA | Domínio S-1-5-21root-518 | Um grupo universal em um domínio de modo nativo; Um grupo global em um domínio de modo misto. O grupo está autorizado a fazer alterações de esquema no Ative Directory. Por padrão, o único membro do grupo é a conta de Administrador do domínio raiz da floresta. |
| Administradores Empresariais | EA | Domínio S-1-5-21root-519 | Um grupo universal em um domínio de modo nativo; Um grupo global em um domínio de modo misto. O grupo está autorizado a fazer alterações em toda a floresta no Ative Directory, como adicionar domínios filho. Por padrão, o único membro do grupo é a conta de Administrador do domínio raiz da floresta. |
| Proprietários de criadores de políticas de grupo | AP | S-1-5-21-domínio-520 | Um grupo global autorizado a criar novos objetos de Diretiva de Grupo no Ative Directory. |
| Servidores RAS e IAS | RS | S-1-5-21-domínio-553 | Um grupo local de domínio. Por padrão, esse grupo não tem membros. Os servidores Servidor de Acesso Remoto (RAS) e Serviço de Autenticação da Internet (IAS) neste grupo têm acesso a Restrições de Conta de Leitura e Informações de Logon de Leitura a objetos de Usuário no grupo local de domínio do Ative Directory. |
| Controladores de domínio somente leitura corporativos | DE | S-1-5-21-domínio-498 | Um grupo universal. Os membros desse grupo são controladores de domínio somente leitura na empresa. |
| Controladores de domínio somente leitura | RO | S-1-5-21-domínio-521 | Um grupo global. Os membros desse grupo são controladores de domínio somente leitura no domínio. |