Crear permiso
La operación Create Permission crea un permiso (un descriptor de seguridad) en el nivel de recurso compartido. Puede usar el descriptor de seguridad creado para los archivos y directorios del recurso compartido. Esta API está disponible a partir de la versión 2019-02-02.
Disponibilidad del protocolo
| Protocolo habilitado para recursos compartidos de archivos | Disponible |
|---|---|
| SMB |
|
| NFS |
|
Pedir
Puede construir la solicitud de Create Permission como se muestra aquí. Se recomienda usar HTTPS.
| Método | URI de solicitud | Versión HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Reemplace los componentes de ruta de acceso que se muestran en el URI de solicitud por sus propios componentes, como se muestra aquí:
| Componente de ruta de acceso | Descripción |
|---|---|
myaccount |
Nombre de la cuenta de almacenamiento. |
myshare |
Nombre del recurso compartido de archivos. El nombre solo puede contener caracteres en minúsculas. |
Para obtener información sobre las restricciones de nomenclatura de rutas de acceso, vea Recursos compartidos de nombres y referencia, directorios, archivos y metadatos.
Parámetros de URI
Puede especificar parámetros adicionales en el URI de solicitud, como se muestra aquí:
| Parámetro | Descripción |
|---|---|
timeout |
Opcional. El parámetro timeout se expresa en segundos. Para obtener más información, consulte Establecer tiempos de espera para las operaciones de Queue Service. |
Encabezados de solicitud
Los encabezados de solicitud obligatorios y opcionales se describen en la tabla siguiente:
| Encabezado de solicitud | Descripción |
|---|---|
Authorization |
Obligatorio. Especifica el esquema de autorización, el nombre de la cuenta de almacenamiento y la firma. Para más información, consulte Autorizar solicitudes a Azure Storage. |
Date o x-ms-date |
Obligatorio. Especifica la hora universal coordinada (UTC) de la solicitud. Para más información, consulte Autorizar solicitudes a Azure Storage. |
x-ms-version |
Opcional. Especifica la versión de la operación que se va a usar para esta solicitud. Para más información, consulte Control de versiones de para los servicios de Azure Storage. |
x-ms-client-request-id |
Opcional. Proporciona un valor opaco generado por el cliente con un límite de caracteres de 1 kibibyte (KiB) que se registra en los registros cuando se configura el registro. Se recomienda encarecidamente usar este encabezado para correlacionar las actividades del lado cliente con las solicitudes que recibe el servidor. Para más información, consulte Monitor Azure Files. |
x-ms-file-request-intent |
Obligatorio si Authorization encabezado especifica un token de OAuth. El valor aceptable es backup. Este encabezado especifica que se debe conceder el Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action o Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action si se incluyen en la directiva de RBAC asignada a la identidad autorizada mediante el encabezado Authorization. Disponible para la versión 2022-11-02 y posteriores. |
Cuerpo de la solicitud
Para crear un descriptor de seguridad, coloque un objeto JSON en el cuerpo de la solicitud. El objeto JSON puede tener los siguientes campos:
| Clave JSON | Descripción |
|---|---|
permission |
Obligatorio. Permiso en el lenguaje de definición de descriptores de seguridad (SDDL) o (versión 2024-11-04 o posterior) en formato de descriptor de seguridad binario codificado en base64 . El descriptor de seguridad debe tener un propietario, un grupo y lista de control de acceso discrecional (DACL). |
format |
Opcional. Versión 2024-11-04 o posterior. Describe el formato del permiso proporcionado en permission. Si se define, este campo debe establecerse en "sddl" o "binary". Si se omite, se usa el valor predeterminado de "sddl". |
Si usa SDDL, el formato de cadena SDDL del descriptor de seguridad no debe tener un identificador relativo al dominio (por ejemplo, DU, DA o DD) en él.
{
"permission": "<SDDL>"
}
En la versión 2024-11-04 o posterior, puede especificar explícitamente que el permiso está en formato SDDL:
{
"format": "sddl",
"permission": "<SDDL>"
}
En la versión 2024-11-04 o posterior, también puede crear un permiso en formato binario codificado en base 64. En ese caso, debe especificar explícitamente que el formato es "binary".
{
"format": "binary",
"permission": "<base64>"
}
Solicitud de ejemplo
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Respuesta
La respuesta incluye un código de estado HTTP y un conjunto de encabezados de respuesta.
Código de estado
Una operación correcta devuelve el código de estado 201 (creado).
Para obtener información sobre los códigos de estado, vea Códigos de estado y de error.
Encabezados de respuesta
La respuesta de esta operación incluye los siguientes encabezados. La respuesta también puede incluir encabezados HTTP estándar adicionales. Todos los encabezados estándar se ajustan a la especificación del protocolo HTTP/1.1 de .
| Encabezado de respuesta | Descripción |
|---|---|
x-ms-request-id |
Identifica de forma única la solicitud que se realizó y puede usarla para solucionar problemas de la solicitud. |
x-ms-version |
Indica la versión de Azure Files que se usó para ejecutar la solicitud. |
Date o x-ms-date |
Valor de fecha y hora UTC generado por el servicio y que indica la hora en que se inició la respuesta. |
x-ms-file-permission-key |
Clave del permiso creado. |
x-ms-client-request-id |
Se puede usar para solucionar problemas de solicitudes y sus respuestas correspondientes. El valor de este encabezado es igual al valor del encabezado x-ms-client-request-id si está presente en la solicitud y el valor no contiene más de 1024 caracteres ASCII visibles. Si el encabezado x-ms-client-request-id no está presente en la solicitud, no está presente en la respuesta. |
Cuerpo de la respuesta
Ninguno.
Autorización
Solo el propietario de la cuenta o un autor de llamada que tenga una firma de acceso compartido de nivel de recurso compartido con autorización de escritura y eliminación pueden llamar a esta operación.
Observaciones
Para que el formato SDDL sea portátil entre equipos unidos a un dominio y no a un dominio, el autor de la llamada puede usar el ConvertSecurityDescriptorToStringSecurityDescriptor función de Windows para obtener la cadena SDDL base para el descriptor de seguridad. Después, el autor de la llamada puede reemplazar la notación SDDL que aparece en la tabla siguiente por el valor de SID correcto.
| Nombre | Notación SDDL | Valor de SID | Descripción |
|---|---|---|---|
| Administrador local | LA | S-1-5-21-domain-500 | Una cuenta de usuario para el administrador del sistema. De forma predeterminada, es la única cuenta de usuario que tiene control total sobre el sistema. |
| Invitados locales | LG | S-1-5-21-domain-501 | Una cuenta de usuario para personas que no tienen cuentas individuales. Esta cuenta de usuario no requiere una contraseña. De forma predeterminada, la cuenta de invitado está deshabilitada. |
| Publicadores de certificados | CA | S-1-5-21-domain-517 | Un grupo global que incluye todos los equipos que ejecutan una entidad de certificación empresarial. Los publicadores de certificados están autorizados para publicar certificados para objetos user en Active Directory. |
| Administradores de dominio | DA | S-1-5-21-domain-512 | Grupo global cuyos miembros están autorizados para administrar el dominio. De forma predeterminada, el grupo Administradores de dominio es miembro del grupo Administradores en todos los equipos que se han unido a un dominio, incluidos los controladores de dominio. Los administradores de dominio son el propietario predeterminado de cualquier objeto creado por cualquier miembro del grupo. |
| Controladores de dominio | DD | S-1-5-21-domain-516 | Un grupo global que incluye todos los controladores de dominio del dominio. Los nuevos controladores de dominio se agregan a este grupo de forma predeterminada. |
| Usuarios de dominio | DU | S-1-5-21-domain-513 | Un grupo global que, de forma predeterminada, incluye todas las cuentas de usuario de un dominio. Al crear una cuenta de usuario en un dominio, la cuenta se agrega a este grupo de forma predeterminada. |
| Invitados de dominio | DG | S-1-5-21-domain-514 | Un grupo global que, de forma predeterminada, tiene solo un miembro, la cuenta de invitado integrada del dominio. |
| Equipos de dominio | DC | S-1-5-21-domain-515 | Un grupo global que incluye todos los clientes y servidores que se han unido al dominio. |
| Administradores de esquema | SA | S-1-5-21root domain-518 | Un grupo universal en un dominio en modo nativo; un grupo global en un dominio en modo mixto. El grupo está autorizado para realizar cambios de esquema en Active Directory. De forma predeterminada, el único miembro del grupo es la cuenta de administrador del dominio raíz del bosque. |
| Administradores de empresa | EA | S-1-5-21root domain-519 | Un grupo universal en un dominio en modo nativo; un grupo global en un dominio en modo mixto. El grupo está autorizado para realizar cambios en todo el bosque en Active Directory, como agregar dominios secundarios. De forma predeterminada, el único miembro del grupo es la cuenta de administrador del dominio raíz del bosque. |
| Propietarios de creadores de directivas de grupo | PAPÁ | S-1-5-21-domain-520 | Un grupo global autorizado para crear nuevos objetos de directiva de grupo en Active Directory. |
| Servidores RAS e IAS | RS | S-1-5-21-domain-553 | Un grupo local de dominio. De forma predeterminada, este grupo no tiene miembros. Los servidores del servidor de acceso remoto (RAS) y del servicio de autenticación de Internet (IAS) de este grupo tienen restricciones de lectura de la cuenta y Acceso de información de inicio de sesión de lectura a objetos user en el grupo local de dominio de Active Directory. |
| Controladores de dominio de solo lectura de empresa | ED | S-1-5-21-domain-498 | Un grupo universal. Los miembros de este grupo son controladores de dominio de solo lectura en la empresa. |
| Controladores de dominio de solo lectura | RO | S-1-5-21-domain-521 | Un grupo global. Los miembros de este grupo son controladores de dominio de solo lectura en el dominio. |