Append Blob Seal

El propósito de la Append Blob Seal operación es permitir a los usuarios y las aplicaciones sellar los blobs en anexos, lo que los marca como de solo lectura. En este documento se describen las especificaciones de la API REST propuestas para esta característica.

Solicitud

Puede construir la Append Blob Seal solicitud como se indica a continuación. Se recomienda HTTPS. Reemplace myaccount por el nombre de la cuenta de almacenamiento.

URI de solicitud de método PUT	Versión de HTTP
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

Encabezados

Append Blob Sealdevuelve encabezados de API comunes, ETag/LMT (hora de última modificación), x-ms-request-id, x-ms-version, content-lengthy .Date Append Blob Sealno cambia .ETag/LMT

Encabezado de respuesta	Valor	Descripción
x-ms-blob-sealed	true/false	Opcional. El valor predeterminado es false. Si el blob está sellado, este encabezado se incluye en la respuesta al sellar y obtener las propiedades de un blob. Este encabezado debe aparecer en GetBlob, GetBlobProperties, AppendBlobSealy ListBlobs para blobs en anexos.

Parámetros de consulta

No hay parámetros de URI adicionales.

Cuerpo de la solicitud

Ninguno.

Response

La respuesta incluye un código de estado HTTP y una lista de encabezados de respuesta.

status code

Puede recibir cualquiera de los siguientes códigos de estado:

• 200 (correcto): el blob está sellado. La llamada es idempotente y se realizará correctamente si el blob ya está sellado.

• 409 (InvalidBlobType): el servicio devuelve este código de estado si la llamada está en un blob en páginas o blob en bloques existente.

• 404 (BlobNotFound): el servicio devuelve este código de estado si la llamada está en un blob no existente.

Authorization

Se requiere autorización al llamar a cualquier operación de acceso a datos en Azure Storage. Puede autorizar la Append Blob Seal operación como se describe a continuación.

Id. de Microsoft Entra

Azure Storage admite el uso de Microsoft Entra ID para autorizar solicitudes a datos de blobs. Con Microsoft Entra ID, puede usar el control de acceso basado en rol de Azure (RBAC de Azure) para conceder permisos a una entidad de seguridad. La entidad de seguridad puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada de Azure. La entidad de seguridad se autentica mediante Microsoft Entra ID para devolver un token de OAuth 2.0. Después, el token se puede usar para autorizar una solicitud en Blob service.

Para más información sobre la autorización mediante Microsoft Entra ID, consulte Autorización del acceso a blobs mediante Microsoft Entra ID.

Permisos

A continuación se enumeran las acciones de RBAC necesarias para un usuario, grupo o entidad de servicio de Microsoft Entra para llamar a la Append Blob Seal operación y el rol RBAC integrado con privilegios mínimos que incluye esta acción:

• Acción RBAC de Azure:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Rol integrado con privilegios mínimos:Colaborador de datos de Storage Blob

Para más información sobre la asignación de roles mediante RBAC de Azure, consulte Asignación de un rol de Azure para el acceso a datos de blobs.

Firmas de acceso compartido (SAS)

Una firma de acceso compartido (SAS) proporciona acceso delegado seguro a los recursos de una cuenta de almacenamiento. Con una SAS, tiene un control granular sobre cómo un cliente puede acceder a los datos. Puede especificar a qué recurso puede tener acceso el cliente, a qué permisos tienen esos recursos y cuánto tiempo es válido la SAS.

La Append Blob Seal operación admite tres tipos de firmas de acceso compartido: SAS de delegación de usuarios, SAS de servicio y SAS de cuenta.

Como procedimiento recomendado de seguridad, se recomienda usar Microsoft Entra credenciales en lugar de la clave de la cuenta de almacenamiento, lo que se puede poner en peligro más fácilmente. Si el diseño de la aplicación requiere firmas de acceso compartido, use Microsoft Entra credenciales para crear una SAS de delegación de usuarios, siempre que sea posible.

Cuando no se permite el acceso a la clave compartida para la cuenta de almacenamiento, no se permitirá un token de SAS de servicio o un token de SAS de cuenta en una solicitud a Blob Storage. Para más información, consulte Descripción de cómo no permitir la clave compartida afecta a los tokens de SAS.

SAS de delegación de usuarios

Una SAS de delegación de usuarios se protege con credenciales de Microsoft Entra y también con los permisos especificados para la SAS.

Llamar a la Append Blob Seal operación mediante un token de SAS delegado en un contenedor o recurso de blob requiere el permiso De escritura (w) como parte del token de SAS de delegación de usuarios.

Para más información sobre la SAS de delegación de usuarios, consulte Creación de una SAS de delegación de usuarios.

SAS de servicio

Una SAS de servicio está protegida con la clave de cuenta de almacenamiento. Una SAS de servicio delega el acceso a un recurso en un único servicio de Azure Storage, como Blob Storage.

Llamar a la Append Blob Seal operación mediante un token de SAS delegado en un contenedor o recurso de blob requiere el permiso De escritura (w) como parte del token de SAS de servicio.

Para más información sobre la SAS de servicio, consulte Creación de una SAS de servicio.

SAS de cuenta

Una SAS de cuenta está protegida con la clave de cuenta de almacenamiento. SAS de cuenta delega el acceso a los recursos en uno o varios de los servicios de almacenamiento. Todas las operaciones disponibles con una SAS de servicio o delegación de usuarios están también disponibles con una SAS de cuenta.

En la tabla siguiente se indica el tipo de recurso firmado y los permisos firmados que se deben especificar al delegar el acceso:

Operación	Servicio firmado	Tipo de recurso firmado	Permiso firmado
Append Blob Seal	Blob (b)	Objeto (o)	Escritura (w)

Para más información sobre la SAS de la cuenta, consulte Creación de una SAS de cuenta.

Clave compartida

La Append Blob Seal operación admite la autorización de clave compartida. No se recomienda autorizar con claves de cuenta para la mayoría de los escenarios, ya que es menos seguro.

Microsoft recomienda no permitir la autorización de clave compartida para la cuenta de almacenamiento siempre que sea posible. Para más información, consulte Evitar autorización con clave compartida.

Comentarios

Si un blob en anexos tiene una concesión, necesita un identificador de concesión para sellar el blob.

Después de sellar un blob, puede actualizar las propiedades, las etiquetas de índice de blobs y los metadatos. La eliminación temporal de un blob sellado conserva el estado sellado. Puede sobrescribir blobs sellados.  

Si toma una instantánea de un blob sellado, la instantánea incluye la marca sealed. Para las instantáneas existentes en la nueva versión, Microsoft devuelve la propiedad .

Al copiar un blob sellado, la marca sealed se propaga de forma predeterminada. Se expone un encabezado que permite sobrescribir la marca.

Se agregará un nuevo elemento XML a la ListBlob respuesta, denominado Sealed. El valor puede ser o true o false.

Si llama a AppendBlock en un blob que ya está sellado, el servicio devuelve el mensaje de error que se muestra en la tabla siguiente. Esto se aplica a las versiones anteriores de la API.

Código de error	Código de estado HTTP	Mensaje de usuario
BlobIsSealed	Conflicto (409)	El blob especificado está sellado y su contenido no se puede modificar a menos que el blob se vuelva a crear después de una eliminación.

Si llama a Append Blob Seal en un blob en anexos que ya se ha sellado, simplemente verá un código de estado de 200 (Correcto).

Facturación

Las solicitudes de precios pueden originarse en clientes que usan API de Blob Storage, ya sea directamente a través de la API REST de Blob Storage o desde una biblioteca cliente de Azure Storage. Estas solicitudes acumulan cargos por transacción. El tipo de transacción afecta a cómo se cobra la cuenta. Por ejemplo, las transacciones de lectura se acumulan en una categoría de facturación diferente a las transacciones de escritura. En la tabla siguiente se muestra la categoría de facturación de Append Blob Seal las solicitudes basadas en el tipo de cuenta de almacenamiento:

Operación	Tipo de cuenta de almacenamiento	Categoría de facturación
Sello de blobs en anexos	Blobs en bloques Premium De uso general, estándar, v2 De uso general, estándar, v1	Operaciones de escritura

Para obtener información sobre los precios de la categoría de facturación especificada, consulte precios Azure Blob Storage.

Consulte también

códigos de error de Azure Blob Storage