Crear permiso
La Create Permission operación crea un permiso (un descriptor de seguridad) en el nivel de recurso compartido. Puede usar el descriptor de seguridad creado para los archivos y directorios del recurso compartido. Esta API está disponible a partir de la versión 2019-02-02.
Disponibilidad del protocolo
| Protocolo de recurso compartido de archivos habilitado | Disponible |
|---|---|
| SMB |  |
| NFS |  |
Solicitud
Puede construir la Create Permission solicitud como se muestra aquí. Se recomienda usar HTTPS.
| Método | URI de solicitud | Versión de HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Reemplace los componentes de ruta de acceso que se muestran en el URI de solicitud por sus propios componentes, como se muestra aquí:
| Componente de ruta de acceso | Descripción |
|---|---|
myaccount |
El nombre de la cuenta de almacenamiento. |
myshare |
El nombre del recurso compartido de archivos. El nombre solo puede contener caracteres en minúsculas. |
Para obtener información sobre las restricciones de nomenclatura de rutas de acceso, vea Recursos compartidos de nombres y referencia, directorios, archivos y metadatos.
Parámetros del identificador URI
Puede especificar parámetros adicionales en el URI de solicitud, como se muestra aquí:
| Parámetro | Descripción |
|---|---|
timeout |
Opcional. El parámetro timeout se expresa en segundos. Para más información, consulte Establecimiento de tiempos de espera para las operaciones de Queue Service. |
Encabezados de solicitud
Los encabezados de solicitud obligatorios y opcionales se describen en la tabla siguiente:
| Encabezado de solicitud | Descripción |
|---|---|
Authorization |
Necesario. Especifica el esquema de autorización, el nombre de la cuenta de almacenamiento y la firma. Para obtener más información, vea Autorización de solicitudes a Azure Storage. |
Date o x-ms-date |
Necesario. Especifica la hora universal coordinada (UTC) de la solicitud. Para obtener más información, vea Autorización de solicitudes a Azure Storage. |
x-ms-version |
Opcional. Especifica la versión de la operación que se utiliza para esta solicitud. Para más información, consulte Control de versiones para los servicios de Azure Storage. |
x-ms-client-request-id |
Opcional. Proporciona un valor opaco generado por el cliente con un límite de caracteres de 1 kibibyte (KiB) que se registra en los registros cuando se configura el registro. Se recomienda encarecidamente usar este encabezado para correlacionar las actividades del lado cliente con las solicitudes que recibe el servidor. Para obtener más información, vea Supervisar Azure Files. |
x-ms-file-request-intent |
Obligatorio si Authorization el encabezado especifica un token de OAuth. El valor aceptable es backup. Este encabezado especifica que se debe conceder o Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action si se incluyen en la directiva de RBAC asignada a la identidad autorizada mediante el Authorization encabezado . Disponible para la versión 2022-11-02 y posteriores. |
Cuerpo de la solicitud
Puede crear un descriptor de seguridad mediante un cuerpo de solicitud, que es un documento JSON que describe el permiso en el lenguaje de definición de descriptores de seguridad (SDDL). SDDL debe tener un propietario, un grupo y una lista de control de acceso discrecional (DACL). El formato de cadena SDDL proporcionado del descriptor de seguridad no debe tener un identificador relativo al dominio (por ejemplo, DU, DA o DD) en él.
{
"Permission": "SDDL"
}
Solicitud de ejemplo
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Response
La respuesta incluye un código de estado HTTP y un conjunto de encabezados de respuesta.
status code
Una operación correcta devuelve el código de estado 201 (Creado).
Para obtener información sobre los códigos de estado, vea Códigos de estado y de error.
Encabezados de respuesta
La respuesta para esta operación incluye los encabezados siguientes. La respuesta también puede incluir encabezados HTTP estándar adicionales. Todos los encabezados estándar se ajustan a la especificación del protocolo HTTP/1.1.
| Encabezado de respuesta | Descripción |
|---|---|
x-ms-request-id |
Identifica de forma única la solicitud que se realizó y puede usarla para solucionar problemas de la solicitud. |
x-ms-version |
Indica la versión Azure Files que se usó para ejecutar la solicitud. |
Date o x-ms-date |
Valor de fecha y hora UTC generado por el servicio y que indica la hora a la que se inició la respuesta. |
x-ms-file-permission-key |
Clave del permiso creado. |
x-ms-client-request-id |
Se puede usar para solucionar problemas de solicitudes y sus respuestas correspondientes. El valor de este encabezado es igual al valor del x-ms-client-request-id encabezado si está presente en la solicitud y el valor no contiene más de 1024 caracteres ASCII visibles. Si el x-ms-client-request-id encabezado no está presente en la solicitud, no está presente en la respuesta. |
Response body
Ninguno.
Authorization
Solo el propietario de la cuenta o un autor de llamada que tenga una firma de acceso compartido de nivel de recurso compartido con autorización de escritura y eliminación pueden llamar a esta operación.
Observaciones
Para que el formato SDDL sea portátil entre equipos unidos a un dominio y no a un dominio, el autor de la llamada puede usar la función ConvertSecurityDescriptorToStringSecurityDescriptor() de Windows para obtener la cadena de SDDL base para el descriptor de seguridad. Después, el autor de la llamada puede reemplazar la notación SDDL que aparece en la tabla siguiente por el valor de SID correcto.
| Nombre | Notación SDDL | Valor de SID | Descripción |
|---|---|---|---|
| Administrador local | Los Ángeles | S-1-5-21domain-500 | Cuenta de usuario para el administrador del sistema. De forma predeterminada, es la única cuenta de usuario que tiene control total sobre el sistema. |
| Invitados locales | LG | S-1-5-21domain-501 | Cuenta de usuario para personas que no tienen cuentas individuales. Esta cuenta de usuario no requiere una contraseña. De forma predeterminada, la cuenta de invitado está deshabilitada. |
| Publicadores de certificados | CA | S-1-5-21domain-517 | Un grupo global que incluye todos los equipos que ejecutan una entidad de certificación empresarial. Los publicadores de certificados están autorizados para publicar certificados para objetos de usuario en Active Directory. |
| Admins. del dominio | DA | S-1-5-21domain-512 | Un grupo global cuyos miembros están autorizados para administrar el dominio. De forma predeterminada, el grupo Administradores de dominio es miembro del grupo Administradores en todos los equipos que se han unido a un dominio, incluidos los controladores de dominio. Los administradores de dominio son el propietario predeterminado de cualquier objeto creado por cualquier miembro del grupo. |
| Controladores de dominio | DD | S-1-5-21domain-516 | Un grupo global que incluye todos los controladores de dominio del dominio. Los nuevos controladores de dominio se agregan a este grupo de forma predeterminada. |
| Usuarios de dominio | DU | S-1-5-21domain-513 | Un grupo global que, de forma predeterminada, incluye todas las cuentas de usuario de un dominio. Al crear una cuenta de usuario en un dominio, la cuenta se agrega a este grupo de forma predeterminada. |
| Invitados del dominio | DG | S-1-5-21domain-514 | Un grupo global que, de forma predeterminada, tiene solo un miembro, la cuenta de invitado integrada del dominio. |
| Equipos del dominio | DC | S-1-5-21domain-515 | Un grupo global que incluye todos los clientes y servidores que se han unido al dominio. |
| Administradores de esquema | SA | S-1-5-21root domain-518 | Un grupo universal en un dominio en modo nativo; un grupo global en un dominio en modo mixto. El grupo está autorizado para realizar cambios de esquema en Active Directory. De forma predeterminada, el único miembro del grupo es la cuenta Administrador del dominio raíz del bosque. |
| Administradores de empresas | EA | S-1-5-21root domain-519 | Un grupo universal en un dominio en modo nativo; un grupo global en un dominio en modo mixto. El grupo está autorizado para realizar cambios en todo el bosque en Active Directory, como agregar dominios secundarios. De forma predeterminada, el único miembro del grupo es la cuenta Administrador del dominio raíz del bosque. |
| Propietarios del creador de directivas de grupo | PA | S-1-5-21domain-520 | Un grupo global autorizado para crear nuevos objetos directiva de grupo en Active Directory. |
| Servidores RAS e IAS | RS | S-1-5-21domain-553 | Un grupo local de dominio. De forma predeterminada, este grupo no tiene miembros. Los servidores del servidor de acceso remoto (RAS) y del servicio de autenticación de Internet (IAS) de este grupo tienen restricciones de cuenta de lectura y acceso de información de inicio de sesión de lectura a objetos user en el grupo local de dominio de Active Directory. |
| Controladores de dominio empresariales de solo lectura | ED | S-1-5-21domain-498 | Un grupo universal. Los miembros de este grupo son controladores de dominio de solo lectura en la empresa. |
| Controladores de dominio de solo lectura | RO | S-1-5-21domain-521 | Un grupo global. Los miembros de este grupo son controladores de dominio de solo lectura en el dominio. |