你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
获取容器 ACL
Get Container ACL
操作获取指定容器的权限。 权限指示是否可以公开访问容器数据。
从版本 2009-09-19 开始,容器权限提供以下用于管理容器访问的选项:
完全公共读取访问:可以通过匿名请求读取容器和 blob 数据。 客户端可以通过匿名请求枚举容器中的 blob,但它们无法枚举存储帐户中的容器。
只对 blob 的公共读取访问权限:此容器中的 Blob 数据可以通过匿名请求读取,但容器数据不可用。 客户端无法通过匿名请求枚举容器中的 Blob。
没有公共读取访问权限:只能由帐户所有者读取容器和 Blob 数据。
Get Container ACL
还返回有关可在共享访问签名中使用的容器上指定的任何容器级访问策略的详细信息。 有关详细信息,请参阅 定义存储访问策略。
对容器的所有公共访问都是匿名的,就像通过共享访问签名进行访问一样。
请求
Get Container ACL
请求可以按如下方式构造。 建议使用 HTTPS。 将 myaccount 替换为存储帐户的名称:
方法 | 请求 URI | HTTP 版本 |
---|---|---|
GET/HEAD |
https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl |
HTTP/1.1 |
模拟存储服务请求
针对模拟存储服务发出请求时,请将模拟器主机名和 Blob 存储端口指定为 127.0.0.1:10000
,后跟模拟的存储帐户名称:
方法 | 请求 URI | HTTP 版本 |
---|---|---|
GET/HEAD |
http://127.0.0.1:10000/devstoreaccount1/mycontainer?restype=container&comp=acl |
HTTP/1.1 |
有关详细信息,请参阅 使用 Azurite 模拟器进行本地 Azure 存储开发。
URI 参数
可以在请求 URI 上指定以下附加参数:
参数 | 描述 |
---|---|
timeout |
自选。
timeout 参数以秒为单位表示。 有关详细信息,请参阅 设置 Blob 存储操作的超时。 |
请求错误代码
下表描述了必需和可选的请求标头:
请求标头 | 描述 |
---|---|
Authorization |
必填。 指定授权方案、帐户名称和签名。 有关详细信息,请参阅 授权对 Azure 存储的请求。 |
Date 或 x-ms-date |
必填。 指定请求的协调世界时(UTC)。 有关详细信息,请参阅 授权对 Azure 存储的请求。 |
x-ms-lease-id: <ID> |
可选版本 2012-02-12 及更高版本。 如果已指定,则仅当容器的租约处于活动状态且与此 ID 匹配时,Get Container ACL 才会成功。 如果没有活动租约或 ID 不匹配,则返回 412 (Precondition Failed) 。 |
x-ms-version |
所有授权请求都是必需的。 指定要用于此请求的操作的版本。 有关详细信息,请参阅 azure 存储服务 |
x-ms-client-request-id |
自选。 提供客户端生成的不透明值,该值具有配置日志记录时日志中记录的 1-kibibyte (KiB) 字符限制。 强烈建议使用此标头将客户端活动与服务器接收的请求相关联。 有关详细信息,请参阅 监视 Azure Blob 存储。 |
请求正文
没有。
响应
响应包括 HTTP 状态代码、一组响应标头和一个响应正文。
状态代码
成功的操作返回状态代码 200(正常)。
有关状态代码的信息,请参阅 状态和错误代码。
响应错误代码
此操作的响应包括以下标头。 响应还可能包括其他标准 HTTP 标头。 所有标准标头都符合 HTTP/1.1 协议规范。
响应标头 | 描述 |
---|---|
x-ms-blob-public-access |
指示是否可以公开访问容器中的数据和访问级别。 可能的值包括: - container :指示容器和 Blob 数据的完整公共读取访问权限。 客户端可以通过匿名请求枚举容器中的 blob,但它们无法枚举存储帐户中的容器。- blob: 指示 Blob 的公共读取访问权限。 可以通过匿名请求读取此容器中的 Blob 数据,但容器数据不可用。 客户端无法通过匿名请求枚举容器中的 Blob。仅 - true: 低于 2016-05-31 的版本。 指示容器已标记为使用低于 2009-09-19 的版本进行完全公共读取访问。 从版本 2016-05-31 开始,此值将改为作为 container 返回。如果未在响应中返回此标头,则容器是帐户所有者专用的。 |
ETag |
容器的实体标记。 如果请求版本为 2011-08-18 或更高版本,则 ETag 值用引号引起来。 |
Last-Modified |
返回上次修改容器的日期和时间。 日期格式遵循 RFC 1123。 有关详细信息,请参阅 表示错误代码中的日期/时间值。 任何修改容器或其属性或元数据的操作都更新上次修改时间。 Blob 上的操作不会影响容器的上次修改时间。 |
x-ms-request-id |
唯一标识已发出的请求,并可用于对请求进行故障排除。 有关详细信息,请参阅 API 操作疑难解答。 |
x-ms-version |
指示用于执行请求的服务版本。 对于针对版本 2009-09-19 及更高版本发出的请求,将返回此标头。 |
Date |
由服务生成的 UTC 日期/时间值,该值指示启动响应的时间。 |
x-ms-client-request-id |
可用于对请求及其相应的响应进行故障排除。 如果此标头存在于请求中,则此标头的值等于 x-ms-client-request-id 标头的值,并且该值包含不超过 1,024 个可见 ASCII 字符。 如果请求中不存在 x-ms-client-request-id 标头,则响应中不存在此标头。 |
响应正文
如果为容器指定了容器级访问策略,Get Container ACL
在响应正文中返回已签名的标识符和访问策略。
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>unique-value</Id>
<AccessPolicy>
<Start>start-time</Start>
<Expiry>expiry-time</Expiry>
<Permission>abbreviated-permission-list</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
示例响应
Response Status:
HTTP/1.1 200 OK
Response Headers:
Transfer-Encoding: chunked
x-ms-blob-public-access: container
Date: Sun, 25 Sep 2011 20:28:22 GMT
ETag: "0x8CAFB82EFF70C46"
Last-Modified: Sun, 25 Sep 2011 19:42:18 GMT
x-ms-version: 2011-08-18
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>
<AccessPolicy>
<Start>2009-09-28T08:49:37.0000000Z</Start>
<Expiry>2009-09-29T08:49:37.0000000Z</Expiry>
<Permission>rwd</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
授权
在 Azure 存储中调用任何数据访问操作时,需要授权。 可以按如下所述授权 Get Container ACL
操作。
重要
Microsoft建议将 Microsoft Entra ID 与托管标识配合使用来授权对 Azure 存储的请求。 与共享密钥授权相比,Microsoft Entra ID 提供更高的安全性和易用性。
Azure 存储支持使用 Microsoft Entra ID 来授权对 blob 数据的请求。 使用 Microsoft Entra ID,可以使用 Azure 基于角色的访问控制(Azure RBAC)向安全主体授予权限。 安全主体可以是用户、组、应用程序服务主体或 Azure 托管标识。 安全主体通过 Microsoft Entra ID 进行身份验证,以返回 OAuth 2.0 令牌。 然后,可以使用令牌来授权针对 Blob 服务的请求。
若要详细了解如何使用 Microsoft Entra ID 进行授权,请参阅 使用 Microsoft Entra ID授予对 blob 的访问权限。
权限
下面列出了Microsoft Entra 用户、组、托管标识或服务主体调用 Get Container ACL
操作所需的 RBAC 操作,以及包含此操作的最小特权内置 Azure RBAC 角色:
- Azure RBAC 操作:Microsoft.Storage/storageAccounts/blobServices/containers/getAcl/action
- 最低特权内置角色:存储 Blob 数据所有者
若要详细了解如何使用 Azure RBAC 分配角色,请参阅 分配 Azure 角色以访问 blob 数据。
言论
没有。 有关此操作如何影响成本的详细信息,请参阅 计费信息。
计费
定价请求可能源自使用 Blob 存储 API 的客户端,可以直接通过 Blob 存储 REST API 或 Azure 存储客户端库。 这些请求按事务产生费用。 事务类型会影响帐户的计费方式。 例如,读取事务累算到与写入事务不同的计费类别。 下表显示了基于存储帐户类型的 Get Container ACL
请求的计费类别:
操作 | 存储帐户类型 | 计费类别 |
---|---|---|
获取容器 ACL | 高级块 blob 标准常规用途 v2 |
其他操作 |
获取容器 ACL | 标准常规用途 v1 | 读取操作 |
若要了解指定计费类别的定价,请参阅 Azure Blob 存储定价。
另请参阅
限制对容器和 blob 的访问
定义存储访问策略
设置容器 ACL
授权对 Azure 存储 的请求
状态和错误代码
Blob 存储错误代码