Настройка ACL очереди
Операция Set Queue ACL задает хранимые политики доступа для очереди, которая может использоваться с SAS (подписанным URL-адресом). Дополнительные сведения см. в статье Определение хранимой политики доступа.
Заметка
Операция Set Queue ACL доступна в версии 2012-02-12 и более поздних версиях.
Просьба
Можно создать запрос Set Queue ACL следующим образом. Рекомендуется использовать ПРОТОКОЛ HTTPS.
Замените myaccount именем учетной записи хранения:
| Метод | URI запроса | ВЕРСИЯ HTTP |
|---|---|---|
PUT |
https://myaccount.queue.core.windows.net/myqueue?comp=acl |
HTTP/1.1 |
Запрос службы эмулированного хранилища
При выполнении запроса к эмулированной службе хранилища укажите имя узла эмулятора и порт службы очередей как 127.0.0.1:10001, а затем имя эмулированной учетной записи хранения:
| Метод | URI запроса | ВЕРСИЯ HTTP |
|---|---|---|
PUT |
http://127.0.0.1:10001/devstoreaccount1/myqueue?comp=acl |
HTTP/1.1 |
Дополнительные сведения см. в статье Использование эмулятора Azurite для разработки локальной службы хранилища Azure.
Параметры URI
Можно указать следующие дополнительные параметры в URI запроса:
| Параметр | Описание |
|---|---|
timeout |
Необязательный. Параметр timeout выражается в секундах. Дополнительные сведения см. в разделе Настройка времени ожидания для операций службы очередей. |
Заголовки запросов
Обязательные и необязательные заголовки запросов описаны в следующей таблице:
| Заголовок запроса | Описание |
|---|---|
Authorization |
Обязательно. Указывает схему авторизации, имя учетной записи и подпись. Дополнительные сведения см. в статье Авторизация запросов к службе хранилища Azure. |
Date или x-ms-date |
Обязательно. Указывает универсальное время (UTC) для запроса. Дополнительные сведения см. в статье Авторизация запросов к службе хранилища Azure. |
x-ms-version |
Необязательный. Указывает версию операции, используемой для этого запроса. Дополнительные сведения см. в разделе Управление версиями служб хранилища Azure. |
x-ms-client-request-id |
Необязательный. Предоставляет созданное клиентом непрозрачное значение с ограничением символов 1-kibibyte (KiB), записанным в журналах при настройке ведения журнала. Настоятельно рекомендуется использовать этот заголовок для сопоставления действий на стороне клиента с запросами, получаемыми сервером. Дополнительные сведения см. в статье Мониторинг хранилища очередей Azure. |
Текст запроса
Чтобы указать хранимую политику доступа, укажите уникальный идентификатор и политику доступа в тексте запроса для операции Set Queue ACL.
Элемент SignedIdentifier включает уникальный идентификатор, указанный в элементе Id, и сведения о политике доступа, как указано в элементе AccessPolicy. Максимальная длина уникального идентификатора составляет 64 символа.
Поля Start и Expiry должны быть выражены в формате UTC и должны соответствовать допустимому формату ISO 8061. Поддерживаемые форматы ISO 8061 включают следующие:
YYYY-MM-DDYYYY-MM-DDThh:mmTZDYYYY-MM-DDThh:mm:ssTZDYYYY-MM-DDThh:mm:ss.ffffffTZD
Для части этих форматов YYYY представляет собой четырехзначное представление года, MM является двухзначным представлением месяца, а DD — двухзначное представление дня. Для части времени hh является представлением часа в 24-часовой нотации, mm является двухзначным представлением минуты, ss является двухзначным вторым представлением, и ffffff является шестизначным миллисекундным представлением. Конструктор времени T отделяет части строки даты и времени, а конструктор часовых поясов TZD указывает часовой пояс.
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>unique-64-character-value</Id>
<AccessPolicy>
<Start>start-time</Start>
<Expiry>expiry-time</Expiry>
<Permission>abbreviated-permission-list</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
Пример запроса
Request Syntax:
PUT https://myaccount.queue.core.windows.net/myqueue?comp=acl HTTP/1.1
Request Headers:
x-ms-version: 2012-02-12
x-ms-date: Sun, 25 Sep 2011 00:42:49 GMT
Authorization: SharedKey myaccount:V47F2tYLS29MmHPhiR8FyiCny9zO5De3kVSF0RYQHmo=
Request Body:
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>
<AccessPolicy>
<Start>2009-09-28T08:49:37.0000000Z</Start>
<Expiry>2009-09-29T08:49:37.0000000Z</Expiry>
<Permission>raup</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
Ответ
Ответ включает код состояния HTTP и набор заголовков ответа.
Код состояния
Успешная операция возвращает код состояния 204 (нет содержимого).
Дополнительные сведения о кодах состояния см. в коды состояния и коды ошибок.
Заголовки ответа
Ответ для этой операции содержит следующие заголовки. Ответ также может включать дополнительные стандартные заголовки HTTP. Все стандартные заголовки соответствуют спецификации протокола HTTP/1.1.
| Заголовок ответа | Описание |
|---|---|
x-ms-request-id |
Уникально идентифицирует выполненный запрос и может использоваться для устранения неполадок запроса. Дополнительные сведения см. в статье Устранение неполадок с операциями API. |
x-ms-version |
Указывает версию службы очередей, которая использовалась для выполнения запроса. Этот заголовок возвращается для запросов, выполненных в отношении версии 2009-09-19 и более поздних версий. |
Date |
Значение даты и времени в формате UTC, созданное службой, указывающее время, когда был инициирован ответ. |
x-ms-client-request-id |
Этот заголовок можно использовать для устранения неполадок запросов и соответствующих ответов. Значение этого заголовка равно значению заголовка x-ms-client-request-id, если оно присутствует в запросе, а значение содержит не более 1024 видимых символов ASCII. Если в запросе отсутствует заголовок x-ms-client-request-id, он не будет присутствовать в ответе. |
Пример ответа
Response Status:
HTTP/1.1 204 No Content
Response Headers:
Transfer-Encoding: chunked
Date: Sun, 25 Sep 2011 22:42:55 GMT
x-ms-version: 2012-02-12
Server: Windows-Azure-Queue/1.0 Microsoft-HTTPAPI/2.0
Авторизация
Авторизация требуется при вызове любой операции доступа к данным в службе хранилища Azure. Вы можете авторизовать операцию Set Queue ACL с помощью идентификатора Microsoft Entra или общего ключа.
Чтобы авторизовать операцию Set Queue ACL с помощью идентификатора Microsoft Entra, субъект безопасности должен иметь пользовательскую роль RBAC Azure, которая включает в себя следующее действие RBAC: Microsoft.Storage/storageAccounts/queueServices/queues/setAcl/action.
Важный
Корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra с управляемыми удостоверениями для авторизации запросов в службу хранилища Azure. Идентификатор Microsoft Entra обеспечивает более высокую безопасность и удобство использования по сравнению с авторизацией общего ключа.
Замечания
При задании разрешений для очереди заменяются существующие разрешения. Чтобы обновить разрешения очереди, вызовите получить ACL очереди, чтобы получить все политики доступа, связанные с очередью. Измените политику доступа, которую вы хотите изменить, а затем вызовите Set Queue ACL с полным набором данных для выполнения обновления.
Установка хранимых политик доступа
Хранимая политика доступа может указать время начала, срок действия и разрешения для подписей общего доступа, с которыми он связан. В зависимости от способа управления доступом к ресурсу очереди можно указать все эти параметры в хранимой политике доступа и опустить их из URL-адреса для подписанного URL-адреса подписанного URL-адреса. Таким образом можно изменить поведение связанной сигнатуры в любое время или отозвать его. Или можно указать один или несколько параметров политики доступа в хранимой политике доступа и другие параметры в URL-адресе. Наконец, можно указать все параметры в URL-адресе. В этом случае можно использовать хранимую политику доступа для отзыва подписи, но не для изменения его поведения. Дополнительные сведения об установке политик доступа см. в статье Определение хранимой политики доступа.
Вместе подписанный URL-адрес и хранимая политика доступа должны включать все поля, необходимые для авторизации подписи. Если отсутствуют необходимые поля, запрос завершается ошибкой. Аналогичным образом, если поле указано как в URL-адресе подписанного URL-адреса, так и в хранимой политике доступа запрос завершается ошибкой с кодом состояния 400 (недопустимый запрос).
По крайней мере пять отдельных политик доступа можно задать для одной очереди в любое время. Если в тексте запроса передаются более пяти политик доступа, служба возвращает код состояния 400 (недопустимый запрос).
При установке хранимой политики доступа в очереди может потребоваться до 30 секунд. В течение этого интервала подписанный URL-адрес, связанный с хранимой политикой доступа, завершается сбоем с кодом состояния 403 (запрещено), пока политика доступа не станет активной.
См. также
Определение хранимой политики доступа
получение ACL очереди
Авторизация запросов в службу хранилища Azure
коды состояния и ошибок