你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

设置容器 ACL

Set Container ACL 操作设置指定容器的权限。 权限指示是否可以公开访问容器中的 Blob。

从版本 2009-09-19 开始，容器权限提供以下用于管理容器访问的选项：

• 完全公共读取访问权限： 容器和 blob 数据可以通过匿名请求读取。 客户端可以通过匿名请求枚举容器中的 blob，但无法枚举存储帐户中的容器。

• 仅对 blob 的公共读取访问权限： 此容器中的 Blob 数据可以通过匿名请求读取，但容器数据不可用。 客户端无法通过匿名请求枚举容器中的 Blob。

• 没有公共读取访问权限： 容器和 blob 数据只能由帐户所有者读取。

Set Container ACL 还设置用于共享访问签名的存储访问策略。 有关详细信息，请参阅 定义存储访问策略。

对容器的所有公共访问都是匿名的，就像通过共享访问签名进行访问一样。

请求

Set Container ACL 请求可以按如下方式构造。 建议使用 HTTPS。 将 myaccount 替换为存储帐户的名称：

方法	请求 URI	HTTP 版本
PUT	https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl	HTTP/1.1

模拟存储服务请求

针对模拟存储服务发出请求时，请将模拟器主机名和 Blob 服务端口指定为 127.0.0.1:10000，后跟模拟的存储帐户名称：

方法	请求 URI	HTTP 版本
PUT	http://127.0.0.1:10000/devstoreaccount1/mycontainer?restype=container&comp=acl	HTTP/1.1

有关详细信息，请参阅 使用 Azurite 模拟器进行本地 Azure 存储开发。

URI 参数

可以在请求 URI 中指定以下附加参数：

参数	描述
timeout	自选。 timeout 参数以秒为单位表示。 有关详细信息，请参阅 设置 Blob 服务操作的超时。

请求标头

下表描述了必需和可选的请求标头：

请求标头	描述
Authorization	必填。 指定授权方案、帐户名称和签名。 有关详细信息，请参阅 授权对 Azure 存储的请求。
Date 或 x-ms-date	必填。 指定请求的协调世界时（UTC）。 有关详细信息，请参阅 授权对 Azure 存储的请求。
x-ms-version	自选。 指定要用于此请求的操作的版本。 有关详细信息，请参阅 azure 存储服务版本控制。
x-ms-blob-public-access	自选。 指定是否可以公开访问容器中的数据和访问级别。 可能的值包括： - container：指定容器和 Blob 数据的完整公共读取访问权限。 客户端可以通过匿名请求枚举容器中的 blob，但无法枚举存储帐户中的容器。 - blob: 指定 Blob 的公共读取访问权限。 可以通过匿名请求读取此容器中的 Blob 数据，但容器数据不可用。 客户端无法通过匿名请求枚举容器中的 Blob。 如果请求中不包含此标头，则容器数据对帐户所有者是私有的。 请注意，不允许为 Azure 高级存储帐户中的容器设置公共访问权限。
x-ms-lease-id: <ID>	可选版本 2012-02-12 及更高版本。 如果已指定，则仅当容器的租约处于活动状态且与此 ID 匹配时，Set Container ACL 才会成功。 如果没有活动租约或 ID 不匹配，则返回 412 （前置条件失败）。
x-ms-client-request-id	自选。 提供客户端生成的不透明值，该值具有配置日志记录时日志中记录的 1-kibibyte （KiB） 字符限制。 强烈建议使用此标头将客户端活动与服务器接收的请求相关联。 有关详细信息，请参阅 监视 Azure Blob 存储。

此操作还支持仅在满足指定条件时使用条件标头来执行该操作。 有关详细信息，请参阅 为 Blob 服务操作指定条件标头。

请求正文

若要指定存储的访问策略，请在 Set Container ACL 操作的请求正文中提供唯一标识符和访问策略。

SignedIdentifier 元素包括唯一标识符，如 Id 元素中指定的，以及访问策略的详细信息，如 AccessPolicy 元素中指定的。 唯一标识符的最大长度为 64 个字符。

Start 和 Expiry 字段必须表示为 UTC 时间，并且必须遵循有效的 ISO 8061 格式。 支持的 ISO 8061 格式包括：

• YYYY-MM-DD
• YYYY-MM-DDThh:mmTZD
• YYYY-MM-DDThh:mm:ssTZD
• YYYY-MM-DDThh:mm:ss.fffffffTZD

对于这些格式的日期部分，YYYY 是四位数年份表示形式，MM 是两位数月份表示形式，DD 是两位数的日期表示形式。 对于时间部分，hh 是 24 小时表示法中的小时表示形式，mm 是两位数的分钟表示形式，ss 是两位数的第二个表示形式，fffffff 是七位数毫秒表示形式。 时间指示符 T 分隔字符串的日期和时间部分，时区指示符 TZD 指定时区。

<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>unique-64-character-value</Id>  
    <AccessPolicy>  
      <Start>start-time</Start>  
      <Expiry>expiry-time</Expiry>  
      <Permission>abbreviated-permission-list</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

示例请求

Request Syntax:  
PUT https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl HTTP/1.1  
  
Request Headers:  
x-ms-version: 2011-08-18  
x-ms-date: Sun, 25 Sep 2011 00:42:49 GMT  
x-ms-blob-public-access: container  
Authorization: SharedKey myaccount:V47F2tYLS29MmHPhiR8FyiCny9zO5De3kVSF0RYQHmo=  
  
Request Body:  
<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>  
    <AccessPolicy>  
      <Start>2009-09-28T08:49:37.0000000Z</Start>  
      <Expiry>2009-09-29T08:49:37.0000000Z</Expiry>  
      <Permission>rwd</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

响应

响应包括 HTTP 状态代码和一组响应标头。

状态代码

成功的操作返回状态代码 200（正常）。

有关状态代码的详细信息，请参阅 状态和错误代码。

响应标头

此操作的响应包括以下标头。 响应还可能包括其他标准 HTTP 标头。 所有标准标头都符合 HTTP/1.1 协议规范。

响应标头	描述
ETag	容器的 ETag。 如果请求版本为 2011-08-18 或更高版本，则 ETag 值用引号引起来。
Last-Modified	返回上次修改容器的日期和时间。 日期格式遵循 RFC 1123。 有关详细信息，请参阅 表示标头中的日期/时间值。 任何修改容器或其属性或元数据的操作都更新上次修改的时间，包括设置容器的权限。 Blob 上的操作不会影响容器的上次修改时间。
x-ms-request-id	唯一标识已发出的请求，并可用于对请求进行故障排除。 有关详细信息，请参阅 API 操作疑难解答
x-ms-version	指示用于执行请求的 Blob 服务版本。 对于针对版本 2009-09-19 及更高版本发出的请求，将返回此标头。
Date	由服务生成的 UTC 日期/时间值，该值指示启动响应的时间。
x-ms-client-request-id	可用于对请求和相应的响应进行故障排除。 如果此标头存在于请求中，则此标头的值等于 x-ms-client-request-id 标头的值，并且该值包含不超过 1,024 个可见 ASCII 字符。 如果请求中不存在 x-ms-client-request-id 标头，则响应中不会显示该标头。

示例响应

Response Status:  
HTTP/1.1 200 OK  
  
Response Headers:  
Transfer-Encoding: chunked  
Date: Sun, 25 Sep 2011 22:42:55 GMT  
ETag: "0x8CB171613397EAB"  
Last-Modified: Sun, 25 Sep 2011 22:42:55 GMT  
x-ms-version: 2011-08-18  
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0  

授权

在 Azure 存储中调用任何数据访问操作时，需要授权。 可以按如下所述授权 Set Container ACL 操作。

重要

Microsoft建议将 Microsoft Entra ID 与托管标识配合使用来授权对 Azure 存储的请求。 与共享密钥授权相比，Microsoft Entra ID 提供更高的安全性和易用性。

Microsoft Entra ID（推荐）

Azure 存储支持使用 Microsoft Entra ID 来授权对 blob 数据的请求。 使用 Microsoft Entra ID，可以使用 Azure 基于角色的访问控制（Azure RBAC）向安全主体授予权限。 安全主体可以是用户、组、应用程序服务主体或 Azure 托管标识。 安全主体通过 Microsoft Entra ID 进行身份验证，以返回 OAuth 2.0 令牌。 然后，可以使用令牌来授权针对 Blob 服务的请求。

若要详细了解如何使用 Microsoft Entra ID 进行授权，请参阅 使用 Microsoft Entra ID授予对 blob 的访问权限。

权限

下面列出了Microsoft Entra 用户、组、托管标识或服务主体调用 Set Container ACL 操作所需的 RBAC 操作，以及包含此操作的最小特权内置 Azure RBAC 角色：

• Azure RBAC 操作：Microsoft.Storage/storageAccounts/blobServices/containers/setAcl/action
• 最低特权内置角色：存储 Blob 数据所有者

若要详细了解如何使用 Azure RBAC 分配角色，请参阅 分配 Azure 角色以访问 blob 数据。

共享密钥

Set Container ACL 操作支持 共享密钥授权。 对于大多数方案，不建议使用帐户密钥进行授权，因为它不太安全。

Microsoft建议尽可能禁止对存储帐户进行共享密钥授权。 有关详细信息，请参阅 阻止使用共享密钥的授权。

言论

为容器设置权限时，将替换现有权限。 若要更新容器的权限，请调用 获取容器 ACL 来提取与容器关联的所有访问策略。 修改要更改的访问策略，然后使用完整的数据集调用 Set Container ACL 以执行更新。

启用对容器数据 的匿名公共访问

若要对容器数据启用匿名公共读取访问，请调用 Set Container ACL，并将 x-ms-blob-public-access 标头设置为 container 或 blob。 若要禁用匿名访问，请在不指定 x-ms-blob-public-access 标头的情况下调用 Set Container ACL。

如果将 x-ms-blob-public-access 设置为 blob，客户端可以匿名调用以下操作：

• 获取 Blob

• 获取 Blob 属性

• 获取 Blob 元数据

• 获取阻止列表（仅适用于已提交的阻止列表）

• 获取页面范围

如果将 x-ms-blob-public-access 设置为 container，客户端可以匿名调用以下操作：

• 上一节中列出的 Blob 访问操作。

• 获取容器属性

• 获取容器元数据

• 列出 blob

建立容器级访问策略

存储访问策略可以指定与其关联的共享访问签名的开始时间、过期时间和权限。 根据控制对容器或 Blob 资源的访问的方式，可以在存储的访问策略中指定所有这些参数，并从共享访问签名的 URL 中省略这些参数。 通过执行此操作，可以随时修改关联的签名的行为或撤销它。 或者，可以在存储的访问策略中指定一个或多个访问策略参数，以及 URL 上的其他访问策略参数。 最后，可以在 URL 上指定所有参数。 在这种情况下，可以使用存储的访问策略来撤销签名，但不能修改其行为。 有关详细信息，请参阅 定义存储访问策略。

共享访问签名和存储访问策略必须包含授权签名所需的所有字段。 如果缺少任何必填字段，请求将失败。 同样，如果在共享访问签名 URL 和存储访问策略中指定了字段，则请求将失败并显示状态代码 400（错误请求）。

最多可以针对单个容器设置五个单独的访问策略。 如果在请求正文中传递了 5 个以上的访问策略，服务将返回状态代码 400（错误请求）。

无论容器数据是否可用于匿名读取访问，都可以在容器或 Blob 上颁发共享访问签名。 共享访问签名可以更好地控制资源的访问方式、时间和访问方式。

注意

在容器上建立存储访问策略时，该策略可能需要长达 30 秒才能生效。 在此时间间隔内，在策略变为活动状态之前，与存储访问策略关联的共享访问签名失败，状态代码为 403（禁止）。

计费

定价请求可能源自使用 Blob 存储 API 的客户端，可以直接通过 Blob 存储 REST API 或 Azure 存储客户端库。 这些请求按事务产生费用。 事务类型会影响帐户的计费方式。 例如，读取事务累算到与写入事务不同的计费类别。 下表显示了基于存储帐户类型的 Set Container ACL 请求的计费类别：

操作	存储帐户类型	计费类别
设置容器 ACL	高级块 blob 标准常规用途 v2	其他操作
设置容器 ACL	标准常规用途 v1	写入操作

若要了解指定计费类别的定价，请参阅 Azure Blob 存储定价。

另请参阅

限制对容器和 blob 的访问
使用共享访问签名 委托访问权限
创建和使用共享访问签名
定义存储访问策略
获取容器 ACL
授权对 Azure 存储 的请求
状态和错误代码
Blob 服务错误代码