Créer une autorisation
L’opération Create Permission
crée une autorisation (descripteur de sécurité) au niveau du partage. Vous pouvez utiliser le descripteur de sécurité créé pour les fichiers et répertoires du partage. Cette API est disponible à partir de la version 2019-02-02.
Disponibilité du protocole
Protocole de partage de fichiers activé | Disponible |
---|---|
SMB | |
NFS |
Demander
Vous pouvez construire la requête Create Permission
comme indiqué ici. Nous vous recommandons d’utiliser HTTPS.
Méthode | URI de requête | Version HTTP |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Remplacez les composants de chemin d’accès indiqués dans l’URI de requête par vos propres composants, comme indiqué ici :
Composant Path | Description |
---|---|
myaccount |
Nom de votre compte de stockage. |
myshare |
Nom de votre partage de fichiers. Le nom ne peut contenir que des caractères minuscules. |
Pour plus d’informations sur les restrictions de nommage de chemin d’accès, consultez partages de noms et de référence, répertoires, fichiers et métadonnées.
Paramètres d’URI
Vous pouvez spécifier des paramètres supplémentaires sur l’URI de requête, comme indiqué ici :
Paramètre | Description |
---|---|
timeout |
Optionnel. Le paramètre timeout est exprimé en secondes. Pour plus d’informations, consultez Définir des délais d’attente pour les opérations de service de file d’attente. |
En-têtes de requête
Les en-têtes de requête obligatoires et facultatifs sont décrits dans le tableau suivant :
En-tête de requête | Description |
---|---|
Authorization |
Obligatoire. Spécifie le schéma d’autorisation, le nom du compte de stockage et la signature. Pour plus d’informations, consultez Autoriser les demandes vers le stockage Azure. |
Date ou x-ms-date |
Obligatoire. Spécifie le temps universel coordonné (UTC) de la requête. Pour plus d’informations, consultez Autoriser les demandes vers le stockage Azure. |
x-ms-version |
Optionnel. Spécifie la version de l’opération à utiliser pour cette requête. Pour plus d’informations, consultez Contrôle de version pour les services stockage Azure. |
x-ms-client-request-id |
Optionnel. Fournit une valeur opaque générée par le client avec une limite de caractères de 1 kibioctet (KiB) enregistrée dans les journaux lors de la configuration de la journalisation. Nous vous recommandons vivement d’utiliser cet en-tête pour mettre en corrélation les activités côté client avec les demandes reçues par le serveur. Pour plus d’informations, consultez Monitor Azure Files. |
x-ms-file-request-intent |
Obligatoire si Authorization en-tête spécifie un jeton OAuth. La valeur acceptable est backup . Cet en-tête spécifie que les Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action ou Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action doivent être accordés s’ils sont inclus dans la stratégie RBAC affectée à l’identité autorisée à l’aide de l’en-tête Authorization . Disponible pour la version 2022-11-02 et ultérieure. |
Corps de la demande
Vous créez un descripteur de sécurité en plaçant un objet JSON dans le corps de la demande. L’objet JSON peut avoir les champs suivants :
Clé JSON | Description |
---|---|
permission |
Obligatoire. Autorisation dans le Security Descriptor Definition Language (SDDL) ou (version 2024-11-04 ou ultérieure) au format de descripteur de sécurité binaire en base64 format de descripteur de sécurité binaire. Le descripteur de sécurité doit avoir un propriétaire, un groupe et liste de contrôle d’accès discrétionnaire (DACL). |
format |
Optionnel. Version 2024-11-04 ou ultérieure. Décrit le format de l’autorisation fournie dans permission . S’il est défini, ce champ doit être défini sur "sddl" ou "binary" . S’il est omis, la valeur par défaut de "sddl" est utilisée. |
Si vous utilisez SDDL, le format de chaîne SDDL du descripteur de sécurité ne doit pas avoir d’identificateur relatif de domaine (par exemple, DU, DA ou DD) dans celui-ci.
{
"permission": "<SDDL>"
}
Dans la version 2024-11-04 ou ultérieure, vous pouvez éventuellement spécifier explicitement que l’autorisation est au format SDDL :
{
"format": "sddl",
"permission": "<SDDL>"
}
Dans la version 2024-11-04 ou ultérieure, vous pouvez également créer une autorisation au format binaire encodé en base 64. Dans ce cas, vous devez spécifier explicitement que le format est "binary"
.
{
"format": "binary",
"permission": "<base64>"
}
Exemple de requête
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Réponse
La réponse inclut un code d’état HTTP et un ensemble d’en-têtes de réponse.
Code d’état
Une opération réussie retourne le code d’état 201 (créé).
Pour plus d’informations sur les codes d’état, consultez Les codes d’état et d’erreur.
En-têtes de réponse
La réponse de cette opération inclut les en-têtes suivants. La réponse peut également inclure des en-têtes HTTP standard supplémentaires. Tous les en-têtes standard sont conformes à la spécification de protocole HTTP/1.1
En-tête de réponse | Description |
---|---|
x-ms-request-id |
Identifie de manière unique la demande qui a été effectuée et vous pouvez l’utiliser pour résoudre la demande. |
x-ms-version |
Indique la version d’Azure Files utilisée pour exécuter la requête. |
Date ou x-ms-date |
Valeur de date/heure UTC générée par le service et qui indique l’heure à laquelle la réponse a été lancée. |
x-ms-file-permission-key |
Clé de l’autorisation créée. |
x-ms-client-request-id |
Peut être utilisé pour résoudre les demandes et leurs réponses correspondantes. La valeur de cet en-tête est égale à la valeur de l’en-tête x-ms-client-request-id s’il est présent dans la requête et que la valeur ne contient pas plus de 1 024 caractères ASCII visibles. Si l’en-tête x-ms-client-request-id n’est pas présent dans la requête, il n’est pas présent dans la réponse. |
Corps de la réponse
Aucun.
Autorisation
Seul le propriétaire du compte ou un appelant disposant d’une signature d’accès partagé au niveau du partage avec une autorisation d’écriture et de suppression peut appeler cette opération.
Remarques
Pour rendre le format SDDL portable sur les machines jointes à un domaine et à un domaine, l’appelant peut utiliser la ConvertSecurityDescriptorToStringSecurityDescriptor fonction Windows pour obtenir la chaîne SDDL de base pour le descripteur de sécurité. L’appelant peut ensuite remplacer la notation SDDL répertoriée dans le tableau suivant par la valeur SID correcte.
Nom | Notation SDDL | Valeur SID | Description |
---|---|---|---|
Administrateur local | LA | S-1-5-21-domain-500 | Un compte d’utilisateur pour l’administrateur système. Par défaut, il s’agit du seul compte d’utilisateur qui dispose d’un contrôle total sur le système. |
Invités locaux | LG | S-1-5-21-domain-501 | Un compte d’utilisateur pour les personnes qui n’ont pas de comptes individuels. Ce compte d’utilisateur ne nécessite pas de mot de passe. Par défaut, le compte invité est désactivé. |
Éditeurs de certificats | CA | S-1-5-21-domain-517 | Groupe global qui inclut tous les ordinateurs exécutant une autorité de certification d’entreprise. Les serveurs de publication de certificats sont autorisés à publier des certificats pour les objets utilisateur dans Active Directory. |
Administrateurs de domaine | DA | S-1-5-21-domain-512 | Groupe global dont les membres sont autorisés à administrer le domaine. Par défaut, le groupe Administrateurs du domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine. Les administrateurs de domaine sont le propriétaire par défaut de n’importe quel objet créé par n’importe quel membre du groupe. |
Contrôleurs de domaine | DD | S-1-5-21-domain-516 | Groupe global qui inclut tous les contrôleurs de domaine dans le domaine. Les nouveaux contrôleurs de domaine sont ajoutés à ce groupe par défaut. |
Utilisateurs du domaine | DU | S-1-5-21-domain-513 | Un groupe global qui, par défaut, inclut tous les comptes d’utilisateur d’un domaine. Lorsque vous créez un compte d’utilisateur dans un domaine, le compte est ajouté à ce groupe par défaut. |
Invités du domaine | DG | S-1-5-21-domain-514 | Groupe global qui, par défaut, n’a qu’un seul membre, le compte invité intégré du domaine. |
Ordinateurs de domaine | Courant continu | S-1-5-21-domain-515 | Groupe global qui inclut tous les clients et serveurs qui ont rejoint le domaine. |
Administrateurs de schéma | SA | Domaine S-1-5-21root-518 | Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications de schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de forêt. |
Administrateurs d’entreprise | EA | Domaine S-1-5-21root-519 | Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications à l’échelle de la forêt dans Active Directory, telles que l’ajout de domaines enfants. Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de forêt. |
Propriétaires de créateur de stratégie de groupe | PAPA | S-1-5-21-domain-520 | Groupe global autorisé à créer des objets de stratégie de groupe dans Active Directory. |
Serveurs RAS et IAS | RS | S-1-5-21-domain-553 | Un groupe local de domaine. Par défaut, ce groupe n’a aucun membre. Les serveurs du serveur d’accès à distance (RAS) et du service d’authentification Internet (IAS) de ce groupe disposent de restrictions de compte de lecture et d’accès en lecture aux informations d’ouverture de session aux objets utilisateur dans le groupe local du domaine Active Directory. |
Contrôleurs de domaine en lecture seule d’entreprise | ED | S-1-5-21-domain-498 | Un groupe universel. Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans l’entreprise. |
Contrôleurs de domaine en lecture seule | RO | S-1-5-21-domain-521 | Un groupe global. Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans le domaine. |