Blobsiegel anfügen

Der Zweck des Append Blob Seal Vorgangs besteht darin, Benutzern und Anwendungen das Anfügen von Blobs zu ermöglichen und sie als schreibgeschützt zu markieren. In diesem Dokument werden die vorgeschlagenen REST-API-Spezifikationen für dieses Feature beschrieben.

Anforderung

Sie können die Append Blob Seal Anforderung wie folgt erstellen. HTTPS wird empfohlen. Ersetzen Sie myaccount durch den Namen Ihres Speicherkontos.

PUT-Methodenanforderungs-URI	HTTP-Version
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

Header

Append Blob Sealgibt gängige API-Header zurück ( ETag/LMT Uhrzeit der letzten Änderung), x-ms-request-id, x-ms-version, content-lengthund .Date Append Blob Sealändert nicht .ETag/LMT

Antwortheader	Wert	Beschreibung
x-ms-blob-sealed	TRUE/FALSE	Optional. Der Standardwert ist gleich „False“. Wenn das Blob versiegelt ist, wird dieser Header in der Antwort enthalten, wenn Sie die Eigenschaften eines Blobs versiegeln und abrufen. Dieser Header sollte in GetBlob, GetBlobProperties, AppendBlobSealund ListBlobs für Anfügeblobs angezeigt werden.

Abfrageparameter

Keine zusätzlichen URI-Parameter.

Anforderungstext

Keine.

Antwort

Die Antwort enthält einen HTTP-status-Code und eine Liste von Antwortheadern.

Statuscode

Möglicherweise erhalten Sie einen der folgenden status-Codes:

• 200 (Erfolg): Das Blob ist versiegelt. Der Aufruf ist idempotent und ist erfolgreich, wenn das Blob bereits versiegelt ist.

• 409 (InvalidBlobType): Der Dienst gibt diesen status Code zurück, wenn sich der Aufruf auf einem vorhandenen Seitenblob oder Blockblob befindet.

• 404 (BlobNotFound): Der Dienst gibt diesen status Code zurück, wenn der Aufruf für ein nicht vorhandenes Blob erfolgt.

Authorization

Beim Aufrufen eines Datenzugriffsvorgangs in Azure Storage ist eine Autorisierung erforderlich. Sie können den Append Blob Seal Vorgang wie unten beschrieben autorisieren.

Wichtig

Microsoft empfiehlt die Verwendung Microsoft Entra ID mit verwalteten Identitäten, um Anforderungen an Azure Storage zu autorisieren. Microsoft Entra ID bietet im Vergleich zur Autorisierung mit gemeinsam genutzten Schlüsseln überlegene Sicherheit und Benutzerfreundlichkeit.

Microsoft Entra ID (empfohlen)

Azure Storage unterstützt die Verwendung von Microsoft Entra ID zum Autorisieren von Anforderungen an Blobdaten. Mit Microsoft Entra ID können Sie die rollenbasierte Zugriffssteuerung (Azure RBAC) von Azure verwenden, um einem Sicherheitsprinzipal Berechtigungen zu erteilen. Der Sicherheitsprinzipal kann ein Benutzer, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Azure-Identität sein. Der Sicherheitsprinzipal wird von Microsoft Entra ID authentifiziert, um ein OAuth 2.0-Token zurückzugeben. Das Token kann anschließend zum Autorisieren einer Anforderung an den Blob-Dienst verwendet werden.

Weitere Informationen zur Autorisierung mit Microsoft Entra ID finden Sie unter Autorisieren des Zugriffs auf Blobs mit Microsoft Entra ID.

Berechtigungen

Nachfolgend sind die RBAC-Aktion aufgeführt, die für einen Microsoft Entra Benutzer, Gruppe, verwaltete Identität oder Dienstprinzipal erforderlich ist, um den Append Blob Seal Vorgang aufzurufen, und die integrierte Azure RBAC-Rolle mit den geringsten Berechtigungen, die diese Aktion enthält:

• Azure RBAC-Aktion:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Integrierte Rolle mit den geringsten Berechtigungen:Mitwirkender für Speicherblobdaten

Weitere Informationen zum Zuweisen von Rollen mithilfe von Azure RBAC finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten.

Shared Access Signatures (SAS)

Eine SAS (Shared Access Signature) bietet sicheren delegierten Zugriff auf Ressourcen in einem Speicherkonto. Mit einer SAS haben Sie eine präzise Kontrolle darüber, wie ein Client auf Daten zugreifen kann. Sie können angeben, auf welche Ressource der Client zugreifen darf, welche Berechtigungen er für diese Ressourcen hat und wie lange die SAS gültig ist.

Der Append Blob Seal Vorgang unterstützt drei Arten von Shared Access Signaturen: Benutzerdelegierungs-SAS, Dienst-SAS und Konto-SAS.

Als bewährte Sicherheitsmethode wird empfohlen, Microsoft Entra Anmeldeinformationen anstelle des Speicherkontoschlüssels zu verwenden, der leichter kompromittiert werden kann. Wenn Ihr Anwendungsentwurf Shared Access Signatures erfordert, verwenden Sie nach Möglichkeit Microsoft Entra Anmeldeinformationen, um eine SAS für die Benutzerdelegierung zu erstellen.

Wenn der Zugriff auf freigegebene Schlüssel für das Speicherkonto nicht zulässig ist, wird ein SAS-Diensttoken oder ein Konto-SAS-Token für eine Anforderung an Blob Storage nicht zulässig. Weitere Informationen finden Sie unter Grundlegendes dazu, wie sich das Aufheben der Zuordnung von freigegebenem Schlüssel auf SAS-Token auswirkt.

SAS für die Benutzerdelegierung

Eine Benutzerdelegierungs-SAS wird mit Microsoft Entra Anmeldeinformationen und auch durch die für die SAS angegebenen Berechtigungen geschützt.

Für das Aufrufen des Append Blob Seal Vorgangs mithilfe eines SAS-Tokens, das an einen Container oder eine Blobressource delegiert wurde, ist die Schreibberechtigung (w) als Teil des SAS-Tokens der Benutzerdelegierung erforderlich.

Weitere Informationen zur BENUTZERdelegierungs-SAS finden Sie unter Create einer Benutzerdelegierungs-SAS.

Dienst-SAS

Eine Dienst-SAS wird mit dem Speicherkontoschlüssel geschützt. Eine Dienst-SAS delegiert den Zugriff auf eine Ressource in einem einzelnen Azure Storage-Dienst, z. B. Blob Storage.

Für das Aufrufen des Append Blob Seal Vorgangs mithilfe eines SAS-Tokens, das an einen Container oder eine Blobressource delegiert wird, ist die Schreibberechtigung (w) als Teil des Dienst-SAS-Tokens erforderlich.

Weitere Informationen zur Dienst-SAS finden Sie unter Create einer Dienst-SAS.

Konto-SAS

Eine Konto-SAS wird mit dem Speicherkontoschlüssel geschützt. Eine Konto-SAS delegiert den Zugriff auf Ressourcen in einem oder mehreren der Speicherdienste. Alle Vorgänge, die über eine Dienst-SAS oder eine SAS für die Benutzerdelegierung verfügbar sind, sind auch über eine Konto-SAS verfügbar.

In der folgenden Tabelle sind der signierte Ressourcentyp und die signierten Berechtigungen angegeben, die beim Delegieren des Zugriffs angegeben werden sollen:

Vorgang	Signierter Dienst	Signierter Ressourcentyp	Signierte Berechtigung
Blobsiegel anfügen	Blob (b)	Objekt (o)	Schreiben (w)

Weitere Informationen zur Konto-SAS finden Sie unter Create einer Konto-SAS.

Gemeinsam verwendeter Schlüssel

Der Append Blob Seal Vorgang unterstützt die Freigabeschlüsselautorisierung. Die Autorisierung mit Kontoschlüsseln wird für die meisten Szenarien nicht empfohlen, da sie weniger sicher ist.

Microsoft empfiehlt, die Autorisierung mit freigegebenem Schlüssel für das Speicherkonto nach Möglichkeit nicht zu verwenden. Weitere Informationen finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendetem Schlüssel.

Hinweise

Wenn ein Anfügeblob über eine Lease verfügt, benötigen Sie eine Lease-ID, um das Blob zu versiegeln.

Nachdem Sie ein Blob versiegelt haben, können Sie weiterhin Eigenschaften, Blobindextags und Metadaten aktualisieren. Das vorläufige Löschen eines versiegelten Blobs behält den versiegelten Zustand bei. Sie können versiegelte Blobs überschreiben.  

Wenn Sie einen Momentaufnahme eines versiegelten Blobs verwenden, enthält die Momentaufnahme das versiegelte Flag. Für vorhandene Momentaufnahmen in der neuen Version gibt Microsoft die Eigenschaft zurück.

Wenn Sie ein versiegeltes Blob kopieren, wird das versiegelte Flag standardmäßig weitergegeben. Ein Header wird verfügbar gemacht, mit dem das Flag überschrieben werden kann.

Der Antwort wird ein neues XML-Element mit dem ListBlob Namen Sealedhinzugefügt. Der Wert kann entweder true oder false sein.

Wenn Sie ein Blob aufrufen AppendBlock , das bereits versiegelt ist, gibt der Dienst die fehlermeldung aus der folgenden Tabelle zurück. Dies gilt für ältere Versionen der API.

Fehlercode	HTTP-Statuscode	Meldung für den Benutzer
BlobIsSealed	Konflikt (409)	Das angegebene Blob ist versiegelt, und sein Inhalt kann nur geändert werden, wenn das Blob nach einem Löschen erneut erstellt wird.

Wenn Sie ein Anfügeblob aufrufen, das bereits versiegelt wurde, wird einfach ein status Code von 200 (Erfolg) angezeigtAppend Blob Seal.

Abrechnung

Preisanforderungen können von Clients stammen, die Blob Storage-APIs verwenden, entweder direkt über die Blob Storage-REST-API oder aus einer Azure Storage-Clientbibliothek. Für diese Anforderungen fallen Gebühren pro Transaktion an. Die Art der Transaktion wirkt sich auf die Belastung des Kontos aus. Beispielsweise werden Lesetransaktionen in eine andere Abrechnungskategorie als das Schreiben von Transaktionen angewendet. Die folgende Tabelle zeigt die Abrechnungskategorie für Append Blob Seal Anforderungen basierend auf dem Speicherkontotyp:

Vorgang	Speicherkontotyp	Abrechnungskategorie
Blobsiegel anfügen	Premium, Blockblob Standard „Allgemein v2“ Standard „Allgemein v1“	Schreibvorgänge

Weitere Informationen zu Preisen für die angegebene Abrechnungskategorie finden Sie unter Azure Blob Storage Preise.

Weitere Informationen

Azure Blob Storage Fehlercodes