Definování uložených zásad přístupu
Uložené zásady přístupu poskytují další úroveň kontroly nad sdílenými přístupové podpisy na úrovni služby (SAS) na straně serveru. Vytvoření uložených zásad přístupu slouží k seskupení sdílených přístupových podpisů a k poskytnutí dalších omezení pro podpisy, které jsou těmito zásadami vázány.
Uložené zásady přístupu můžete použít ke změně času spuštění, času vypršení platnosti nebo oprávnění k podpisu. Uložené zásady přístupu můžete použít také k odvolání podpisu po jeho vystavení.
Následující prostředky úložiště podporují uložené zásady přístupu:
- Kontejnery objektů blob
- Sdílené složky
- Fronty
- Tabulky
Poznámka
Uložené zásady přístupu k kontejneru je možné přidružit ke sdílenému přístupovém podpisu, který uděluje oprávnění k samotnému kontejneru nebo objektům blob, které obsahuje. Podobně je možné uložené zásady přístupu ke sdílené složce přidružit ke sdílenému přístupovém podpisu, který uděluje oprávnění k samotné sdílené složce nebo k souborům, které obsahuje.
Uložené zásady přístupu nejsou podporované pro SAS delegování uživatele nebo SAS účtu.
Vytvoření nebo úprava uložených zásad přístupu
Zásady přístupu pro sdílený přístupový podpis se skládají z času spuštění, času vypršení platnosti a oprávnění pro podpis. Můžete zadat některou z následujících možností nebo je zkombinovat:
- Všechny tyto parametry u identifikátoru URI podpisu a žádné v uložených zásadách přístupu
- Všechny tyto parametry pro uložené zásady přístupu a žádné u identifikátoru URI
Nemůžete ale zadat parametr jak pro token SAS, tak pro uložené zásady přístupu.
Pokud chcete vytvořit nebo upravit uložené zásady přístupu, zavolejte Set ACL operaci pro daný prostředek (viz Nastavení seznamu ACL kontejneru, Nastavení seznamu ACL fronty, Nastavení seznamu ACL tabulky nebo ACL sdílené složky) s textem požadavku, který určuje podmínky zásad přístupu. Text požadavku obsahuje jedinečný podepsaný identifikátor podle vašeho výběru, který může být dlouhý až 64 znaků. Text požadavku obsahuje také volitelné parametry zásad přístupu, a to následujícím způsobem:
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>unique-64-char-value</Id>
<AccessPolicy>
<Start>start-time</Start>
<Expiry>expiry-time</Expiry>
<Permission>abbreviated-permission-list</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
V kontejneru, tabulce, frontě nebo sdílené složce můžete nastavit maximálně pět zásad přístupu najednou. Každé SignedIdentifier pole s jedinečným Id polem odpovídá jedné zásadě přístupu. Pokus o nastavení více než pěti zásad přístupu najednou způsobí, že služba vrátí stavový kód 400 (Chybný požadavek).
Poznámka
Když vytvoříte nebo aktualizujete uložené zásady přístupu pro kontejner, tabulku, frontu nebo sdílenou složku, může trvat až 30 sekund, než se změna projeví. Během tohoto intervalu můžou požadavky na sdílený přístupový podpis přidružený k uloženým zásadám přístupu selhávat se stavovým kódem 403 (Zakázáno), dokud zásady přístupu nebudou aktivní.
V uložených zásadách přístupu nemůžete pro entity tabulek (startpk, startrk, endpka endrk) zadat omezení rozsahu.
Úprava nebo odvolání uložených zásad přístupu
Pokud chcete upravit parametry uložených zásad přístupu, můžete voláním operace seznamu řízení přístupu (ACL) pro daný typ prostředku nahradit existující zásadu. V této operaci zadejte nový čas spuštění, čas vypršení platnosti nebo sadu oprávnění.
Pokud například vaše stávající zásady uděluje prostředku oprávnění ke čtení a zápisu, můžete je upravit tak, aby se všem budoucím požadavkům udělily jenom oprávnění ke čtení. V takovém případě by podepsaný identifikátor nové zásady určený ID v poli byl shodný s podepsaným identifikátorem zásady, kterou nahrazujete.
Pokud chcete odvolat uložené zásady přístupu, můžete je odstranit, přejmenovat změnou podepsaného identifikátoru nebo změnit dobu vypršení platnosti na hodnotu v minulosti. Změna podepsaného identifikátoru přeruší přidružení mezi existujícími podpisy a uloženými zásadami přístupu. Změna času vypršení platnosti na hodnotu v minulosti způsobí vypršení platnosti všech přidružených podpisů. Odstranění nebo úprava uložených zásad přístupu okamžitě ovlivní všechny sdílené přístupové podpisy, které jsou k ní přidružené.
Pokud chcete odebrat zásady jednoho přístupu, zavolejte Set ACL operaci prostředku. Předejte sadu podepsaných identifikátorů, které chcete v kontejneru udržovat. Pokud chcete z prostředku odebrat všechny zásady přístupu, zavolejte Set ACL operaci s prázdným textem požadavku.