Ange princip för oföränderlighet för blob

Åtgärden Set Blob Immutability Policy anger oföränderlighetsprincipen på en blob. Den här åtgärden uppdaterar inte blobens ETag. Det här API:et är tillgängligt från och med version 2020-06-12.

Förfrågan

Begäran Set Blob Immutability Policy kan konstrueras på följande sätt. Vi rekommenderar att du använder HTTPS. Ersätt myaccount med namnet på ditt lagringskonto och myblob med det blobnamn som principen för oföränderlighet ska ändras för.

Metod	URI för förfrågan	HTTP-version
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

URI-parametrar

Du kan ange följande ytterligare parametrar för begärande-URI:n:

Parameter	Beskrivning
snapshot	Valfritt. Parametern snapshot är ett täckande DateTime värde som när den finns anger blobögonblicksbilden som en nivå ska anges på. Mer information om hur du arbetar med blobögonblicksbilder finns i Skapa en ögonblicksbild av en blob
versionid	Valfritt för version 2019-12-12 och senare. Parametern versionid är ett täckande DateTime värde som när den finns anger vilken version av bloben som en nivå ska anges på.
timeout	Valfritt. Parametern timeout uttrycks i sekunder. Mer information finns i Ange tidsgränser för Blob Storage-åtgärder.

Begärandehuvuden

De obligatoriska och valfria begäranderubrikerna beskrivs i följande tabell:

Begärandehuvud	Beskrivning
Authorization	Krävs. Anger auktoriseringsschema, lagringskontonamn och signatur. Mer information finns i Auktorisera begäranden till Azure Storage.
Date eller x-ms-date	Krävs. Anger Coordinated Universal Time (UTC) för begäran. Mer information finns i Auktorisera begäranden till Azure Storage.
x-ms-immutability-policy-until-date	Krävs. Anger det kvarhållningsdatum som ska anges på bloben. Det här är det datum då bloben kan skyddas från att ändras eller tas bort. För bloblagring eller v2-konto för generell användning är giltiga värden med RFC1123 format. Tidigare tider är inte giltiga.
x-ms-immutability-policy-mode	Valfritt. Om det inte anges är Unlockedstandardvärdet . Anger det oföränderlighetsprincipläge som ska anges på bloben. För bloblagring eller v2-konto för generell användning är Unlocked/Lockedgiltiga värden . unlocked anger att användaren kan ändra principen genom att öka eller minska kvarhållningen fram till datumet. locked anger att dessa åtgärder är förbjudna.
x-ms-version	Krävs för alla auktoriserade begäranden. Anger vilken version av åtgärden som ska användas för den här begäran. Mer information finns i Versionshantering för Azure Storage-tjänsterna.
x-ms-client-request-id	Valfritt. Tillhandahåller ett klientgenererat, täckande värde med en teckengräns på 1 kibibyte (KiB) som registreras i loggarna när loggningen har konfigurerats. Vi rekommenderar starkt att du använder det här huvudet för att korrelera aktiviteter på klientsidan med begäranden som servern tar emot. Mer information finns i Övervaka Azure Blob Storage.

Den här åtgärden stöder också användning av villkorsstyrda rubriker för att ange bloben endast om ett angivet villkor uppfylls. Mer information finns i Ange villkorsstyrda rubriker för Blob Storage-åtgärder.

Begärandetext

Inga.

Svarsåtgärder

Svaret innehåller en HTTP-statuskod och en uppsättning svarshuvuden.

Statuskod

En lyckad åtgärd returnerar statuskoden 200 (OK).

Information om statuskoder finns i Status och felkoder.

Svarshuvuden

Svaret för den här åtgärden innehåller rubrikerna nedan. Svaret kan också innehålla ytterligare HTTP-standardhuvuden. Alla standardhuvuden överensstämmer med HTTP/1.1-protokollspecifikationen.

Svarsrubrik	Description
x-ms-request-id	Identifierar unikt den begäran som gjordes och kan användas för att felsöka begäran. Mer information finns i Felsöka API-åtgärder.
x-ms-version	Anger den Blob Storage-version som användes för att köra begäran. Returneras för begäranden mot version 2009-09-19 och senare.
x-ms-client-request-id	Kan användas för att felsöka begäranden och motsvarande svar. Värdet för det här huvudet är lika med värdet x-ms-client-request-id för huvudet om det finns i begäran och värdet inte innehåller fler än 1 024 synliga ASCII-tecken. x-ms-client-request-id Om rubriken inte finns i begäran visas den inte i svaret.
x-ms-immutability-policy-until-date	Anger det kvarhållningsdatum som ska anges på bloben. Det här är det datum då bloben kan skyddas från att ändras eller tas bort.
x-ms-immutability-policy-mode	Anger det oföränderliga principläge som har angetts på bloben. Värdena är unlocked och locked. Värdetunlocked anger att användaren kan ändra principen genom att öka eller minska kvarhållningsdatumet ochlocked anger att dessa åtgärder är förbjudna.

Auktorisering

Auktorisering krävs när du anropar en dataåtkomståtgärd i Azure Storage. Du kan auktorisera åtgärden enligt beskrivningen Set Blob Immutability Policy nedan.

Viktigt

Microsoft rekommenderar att du använder Microsoft Entra ID med hanterade identiteter för att auktorisera begäranden till Azure Storage. Microsoft Entra ID ger överlägsen säkerhet och användarvänlighet jämfört med auktorisering av delad nyckel.

Microsoft Entra ID (rekommenderas)

Azure Storage stöder användning av Microsoft Entra ID för att auktorisera begäranden till blobdata. Med Microsoft Entra ID kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt. Säkerhetsobjektet kan vara en användare, grupp, programtjänstens huvudnamn eller en hanterad Azure-identitet. Säkerhetsobjektet autentiseras av Microsoft Entra ID för att returnera en OAuth 2.0-token. Token kan sedan användas för att auktorisera en begäran mot Blob-tjänsten.

Mer information om auktorisering med Microsoft Entra ID finns i Auktorisera åtkomst till blobar med Microsoft Entra ID.

Behörigheter

Nedan visas den RBAC-åtgärd som krävs för att en Microsoft Entra användare, grupp, hanterad identitet eller tjänstens huvudnamn ska anropa Set Blob Immutability Policy åtgärden och den minst privilegierade inbyggda Azure RBAC-rollen som inkluderar den här åtgärden:

• Azure RBAC-åtgärd:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
• Minsta privilegierade inbyggda roll:Storage Blob Data Owner

Mer information om hur du tilldelar roller med Azure RBAC finns i Tilldela en Azure-roll för åtkomst till blobdata.

Signaturer för delad åtkomst (SAS)

En signatur för delad åtkomst (SAS) ger säker delegerad åtkomst till resurser i ett lagringskonto. Med en SAS har du detaljerad kontroll över hur en klient kan komma åt data. Du kan ange vilken resurs klienten kan komma åt, vilka behörigheter de har till dessa resurser och hur länge SAS är giltigt.

Åtgärden Set Blob Immutability Policy stöder tre typer av signaturer för delad åtkomst: SAS för användardelegering, sas för tjänsten och konto-SAS.

Vi rekommenderar att du använder Microsoft Entra autentiseringsuppgifter i stället för lagringskontonyckeln, vilket är enklare att kompromettera. Om din programdesign kräver signaturer för delad åtkomst använder du Microsoft Entra autentiseringsuppgifter för att skapa en SAS för användardelegering när det är möjligt.

När åtkomst med delad nyckel inte tillåts för lagringskontot tillåts inte en SAS-token för tjänsten eller en SAS-kontotoken för en begäran till Blob Storage. Mer information finns i Förstå hur nekande av delad nyckel påverkar SAS-token.

SAS för användardelegering

En SAS för användardelegering skyddas med Microsoft Entra autentiseringsuppgifter och även av de behörigheter som anges för SAS.

Set Blob Immutability Policy Att anropa åtgärden med en SAS-token som delegerats till en container eller blobresurs kräver behörigheten Oföränderlig lagring (i) som en del av SAS-token för användardelegering.

Mer information om SAS för användardelegering finns i Skapa en SAS för användardelegering.

Tjänst-SAS

En tjänst-SAS skyddas med lagringskontonyckeln. En tjänst-SAS delegerar åtkomst till en resurs i en enda Azure Storage-tjänst, till exempel bloblagring.

Set Blob Immutability Policy Att anropa åtgärden med hjälp av en SAS-token som delegerats till en container eller blobresurs kräver behörigheten Oföränderlig lagring (i) som en del av tjänstens SAS-token.

Mer information om sas-tjänsten finns i Skapa en tjänst-SAS.

Konto-SAS

Ett SAS-konto skyddas med lagringskontonyckeln. En konto-SAS delegerar åtkomst till resurser i en eller flera av lagringstjänsterna. Alla åtgärder som är tillgängliga via en tjänst eller sas för användardelegering är också tillgängliga via ett konto-SAS.

Följande tabell anger den signerade resurstypen och signerade behörigheter som ska anges när åtkomst delegeras:

Åtgärd	Signerad tjänst	Signerad resurstyp	Signerad behörighet
Ange princip för oföränderlighet för blob	Blob (b)	Objekt (o)	Oföränderlig lagring (i)

Mer information om kontots SAS finns i Skapa ett KONTO-SAS.

Delad nyckel

Åtgärden Set Blob Immutability Policy stöder auktorisering av delad nyckel. Auktorisering med kontonycklar rekommenderas inte för de flesta scenarier, eftersom det är mindre säkert.

Microsoft rekommenderar att du inte tillåter auktorisering av delad nyckel för lagringskontot när det är möjligt. Mer information finns i Förhindra auktorisering med delad nyckel.

Kommentarer

Inställningen av blobbens oföränderlighetsprincip för ett bloblagringskonto eller v2-konto för generell användning har följande begränsningar:

• Att ange en oföränderlighetsprincip för en ögonblicksbild eller en version tillåts från och med REST version 2020-06-12.
• När principen för oföränderlighet är i unlocked läge kan användarna uppdatera kvarhållningen till datumet. När principen för oföränderlighet är i locked läge kan användarna utöka kvarhållningen till endast datum. Principläget för oföränderlighet kan ändras från unlocked till locked, men inte från locked till unlocked.
• När det finns en oföränderlighetsprincip på en blob, och det också finns en standardprincip för oföränderlighet för container eller konto, blir blobens oföränderlighetsprincip prejudikat.
• För en princip PutBlockList/PutBlob/CopyBlob för oföränderlighet på blobnivå tillåts åtgärder eftersom dessa åtgärder genererar en ny version.
• När principen för oföränderlighet är i unlocked läge kan användarna ta bort oföränderlighetsprincipen med hjälp av följande API:

Metod	URI för förfrågan	HTTP-version
Delete	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Anteckning

Mer information finns i Oföränderlig lagring.

Fakturering

Prisbegäranden kan komma från klienter som använder Blob Storage-API:er, antingen direkt via REST-API:et för Blob Storage eller från ett Azure Storage-klientbibliotek. Dessa begäranden ackumulerar avgifter per transaktion. Typen av transaktion påverkar hur kontot debiteras. Lästransaktioner till exempel tillfaller en annan faktureringskategori än skrivtransaktioner. I följande tabell visas faktureringskategorin för Set Blob Immutability Policy begäranden baserat på lagringskontotypen:

Åtgärd	Typ av lagringskonto	Faktureringskategori
Ange princip för oföränderlighet för blob	Premium-blockblob Standard generell användning v2 Standard generell användning v1	Andra åtgärder

Mer information om priser för den angivna faktureringskategorin finns i Azure Blob Storage Prissättning.

Se även

Auktorisera begäranden till Azure Storage
Status- och felkoder
Felkoder för Blob Storage
Ange tidsgränser för Blob Storage-åtgärder