Ange bevarande av juridiska skäl för blob

Åtgärden Set Blob Legal Hold anger det juridiska undantaget för en blob. Den här åtgärden uppdaterar inte blobens ETag. Det här API:et är tillgängligt från och med version 2020-04-08.

Förfrågan

Begäran Set Blob Legal Hold kan konstrueras på följande sätt. Vi rekommenderar att du använder HTTPS. Ersätt myaccount med namnet på ditt lagringskonto och myblob med det blobnamn som det juridiska undantaget ska ändras för.

Metod	URI för förfrågan	HTTP-version
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=legalhold	HTTP/1.1

URI-parametrar

Du kan ange följande ytterligare parametrar för begärande-URI:n:

Parameter	Beskrivning
snapshot	Valfritt. Ögonblicksbildsparametern är ett täckande DateTime värde som, när den finns, anger blobögonblicksbilden för att ange en nivå på. Mer information om hur du arbetar med blobögonblicksbilder finns i Skapa en ögonblicksbild av en blob
versionid	Valfritt för version 2019-12-12 och senare. Parametern versionid är ett täckande DateTime värde som när den finns anger vilken version av bloben som en nivå ska anges på.
timeout	Valfritt. Parametern timeout uttrycks i sekunder. Mer information finns i Ange tidsgränser för Blob Storage-åtgärder.

Begärandehuvuden

De obligatoriska och valfria begäranderubrikerna beskrivs i följande tabell:

Begärandehuvud	Beskrivning
Authorization	Krävs. Anger auktoriseringsschema, lagringskontonamn och signatur. Mer information finns i Auktorisera begäranden till Azure Storage.
Date eller x-ms-date	Krävs. Anger Coordinated Universal Time (UTC) för begäran. Mer information finns i Auktorisera begäranden till Azure Storage.
x-ms-legal-hold	Valfritt. Anger eller tar bort det juridiska undantaget för bloben. För Blob Storage- eller generell användning v2-konton är true de giltiga värdena och false.
x-ms-version	Krävs för alla auktoriserade begäranden. Anger vilken version av åtgärden som ska användas för den här begäran. Mer information finns i Versionshantering för Azure Storage-tjänsterna.
x-ms-client-request-id	Valfritt. Tillhandahåller ett klientgenererat, täckande värde med en teckengräns på 1 kibibyte (KiB) som registreras i loggarna när loggningen har konfigurerats. Vi rekommenderar starkt att du använder det här huvudet för att korrelera aktiviteter på klientsidan med begäranden som servern tar emot. Mer information finns i Övervaka Azure Blob Storage.

Begärandetext

Inga.

Svarsåtgärder

Svaret innehåller en HTTP-statuskod och en uppsättning svarshuvuden.

Statuskod

En lyckad åtgärd returnerar statuskoden 200 (OK).

Information om statuskoder finns i Status och felkoder.

Svarshuvuden

Svaret för den här åtgärden innehåller rubrikerna nedan. Svaret kan också innehålla ytterligare HTTP-standardhuvuden. Alla standardhuvuden överensstämmer med HTTP/1.1-protokollspecifikationen.

Svarsrubrik	Description
x-ms-request-id	Identifierar unikt den begäran som gjordes och kan användas för att felsöka begäran.
Mer information finns i Felsöka API-åtgärder.
x-ms-version	Blob Storage-versionen som användes för att köra begäran. Det här huvudet returneras för begäranden mot version 2009-09-19 och senare.
x-ms-client-request-id	Kan användas för att felsöka begäranden och motsvarande svar. Värdet för det här huvudet är lika med värdet x-ms-client-request-id för huvudet om det finns i begäran och värdet inte innehåller fler än 1 024 synliga ASCII-tecken. x-ms-client-request-id Om rubriken inte finns i begäran visas den inte i svaret.
x-ms-legal-hold	Anger det juridiska bevarande som har angetts för bloben. Giltiga värden är true och false.

Auktorisering

Auktorisering krävs när du anropar en dataåtkomståtgärd i Azure Storage. Du kan auktorisera åtgärden enligt beskrivningen Set Blob Legal Hold nedan.

Viktigt

Microsoft rekommenderar att du använder Microsoft Entra ID med hanterade identiteter för att auktorisera begäranden till Azure Storage. Microsoft Entra ID ger överlägsen säkerhet och användarvänlighet jämfört med auktorisering av delad nyckel.

Microsoft Entra ID (rekommenderas)

Azure Storage stöder användning av Microsoft Entra ID för att auktorisera begäranden till blobdata. Med Microsoft Entra ID kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt. Säkerhetsobjektet kan vara en användare, grupp, programtjänstens huvudnamn eller en hanterad Azure-identitet. Säkerhetsobjektet autentiseras av Microsoft Entra ID för att returnera en OAuth 2.0-token. Token kan sedan användas för att auktorisera en begäran mot Blob-tjänsten.

Mer information om auktorisering med Microsoft Entra ID finns i Auktorisera åtkomst till blobar med Microsoft Entra ID.

Behörigheter

Nedan visas den RBAC-åtgärd som krävs för att en Microsoft Entra användare, grupp, hanterad identitet eller tjänstens huvudnamn ska anropa Set Blob Legal Hold åtgärden och den minst privilegierade inbyggda Azure RBAC-rollen som inkluderar den här åtgärden:

• Azure RBAC-åtgärd:Microsoft.Storage/storageAccounts/blobServices/containers/write
• Minst privilegierad inbyggd roll:Storage Blob Data-deltagare

Mer information om hur du tilldelar roller med Azure RBAC finns i Tilldela en Azure-roll för åtkomst till blobdata.

Signaturer för delad åtkomst (SAS)

En signatur för delad åtkomst (SAS) ger säker delegerad åtkomst till resurser i ett lagringskonto. Med en SAS har du detaljerad kontroll över hur en klient kan komma åt data. Du kan ange vilken resurs klienten kan komma åt, vilka behörigheter de har till dessa resurser och hur länge SAS är giltigt.

Åtgärden Set Blob Legal Hold stöder tre typer av signaturer för delad åtkomst: SAS för användardelegering, sas för tjänsten och konto-SAS.

Vi rekommenderar att du använder Microsoft Entra autentiseringsuppgifter i stället för lagringskontonyckeln, vilket är enklare att kompromettera. Om din programdesign kräver signaturer för delad åtkomst använder du Microsoft Entra autentiseringsuppgifter för att skapa en SAS för användardelegering när det är möjligt.

När åtkomst med delad nyckel inte tillåts för lagringskontot tillåts inte en SAS-token för tjänsten eller en SAS-kontotoken för en begäran till Blob Storage. Mer information finns i Förstå hur nekande av delad nyckel påverkar SAS-token.

SAS för användardelegering

En SAS för användardelegering skyddas med Microsoft Entra autentiseringsuppgifter och även av de behörigheter som anges för SAS.

Set Blob Legal Hold Att anropa åtgärden med en SAS-token som delegerats till en container eller blobresurs kräver behörigheten Oföränderlig lagring (i) som en del av SAS-token för användardelegering.

Mer information om SAS för användardelegering finns i Skapa en SAS för användardelegering.

Tjänst-SAS

En tjänst-SAS skyddas med lagringskontonyckeln. En tjänst-SAS delegerar åtkomst till en resurs i en enda Azure Storage-tjänst, till exempel bloblagring.

Set Blob Legal Hold Att anropa åtgärden med hjälp av en SAS-token som delegerats till en container eller blobresurs kräver behörigheten Oföränderlig lagring (i) som en del av tjänstens SAS-token.

Mer information om tjänstens SAS finns i Skapa en tjänst-SAS.

Konto-SAS

Ett konto-SAS skyddas med lagringskontonyckeln. En konto-SAS delegerar åtkomst till resurser i en eller flera av lagringstjänsterna. Alla åtgärder som är tillgängliga via en sas för tjänst- eller användardelegering är också tillgängliga via ett konto-SAS.

Följande tabell anger den signerade resurstypen och de signerade behörigheter som ska anges när åtkomst delegeras:

Åtgärd	Signerad tjänst	Signerad resurstyp	Signerad behörighet
Ange bevarande av juridiska skäl för blob	Blob (b)	Objekt (o)	Oföränderlig lagring (i)

Mer information om kontots SAS finns i Skapa ett konto-SAS.

Delad nyckel

Åtgärden Set Blob Legal Hold stöder auktorisering med delad nyckel. Auktorisering med kontonycklar rekommenderas inte för de flesta scenarier, eftersom det är mindre säkert.

Microsoft rekommenderar att du inte tillåter auktorisering av delad nyckel för lagringskontot när det är möjligt. Mer information finns i Förhindra auktorisering med delad nyckel.

Kommentarer

Om du anger blobens bevarande av juridiska skäl för en bloblagring eller ett v2-konto för generell användning har du följande begränsningar:

• Att ange ett bevarande av juridiska skäl för en ögonblicksbild eller en version tillåts från och med REST-version 2020-06-12.
• När bevarandet av juridiska skäl är inställt på truekan användarna inte ändra eller ta bort bloben förutom i vissa specialåtgärder, PutBlockList/PutBlob/CopyBlobeftersom dessa åtgärder genererar en ny version.

Anteckning

Detaljerad information om oföränderlig lagring finns i Oföränderlig lagring.

Fakturering

Prisbegäranden kan komma från klienter som använder Blob Storage-API:er, antingen direkt via REST-API:et för Blob Storage eller från ett Azure Storage-klientbibliotek. Dessa begäranden ackumulerar avgifter per transaktion. Typen av transaktion påverkar hur kontot debiteras. Lästransaktioner ackumuleras till exempel till en annan faktureringskategori än skrivtransaktioner. I följande tabell visas faktureringskategorin för Set Blob Legal Hold begäranden baserat på lagringskontotypen:

Åtgärd	Typ av lagringskonto	Faktureringskategori
Ange bevarande av juridiska skäl för blob	Premium-blockblob Standard generell användning v2 Standard generell användning v1	Andra åtgärder

Mer information om priser för den angivna faktureringskategorin finns i Azure Blob Storage Prissättning.

Se även

Auktorisera begäranden till Azure Storage
Status- och felkoder
Felkoder för Blob Storage
Ange tidsgränser för Blob Storage-åtgärder