Définir une stratégie d’accès stockée

Une stratégie d’accès stockée fournit un niveau de contrôle supplémentaire sur les signatures d’accès partagé au niveau du service (SAP) côté serveur. L'établissement d'une stratégie d'accès stockée sert à regrouper des signatures d'accès partagé et à fournir des restrictions supplémentaires pour les signatures liées par la stratégie.

Vous pouvez utiliser une stratégie d’accès stockée pour modifier l’heure de début, l’heure d’expiration ou les autorisations d’une signature. Vous pouvez également utiliser une stratégie d’accès stockée pour révoquer une signature une fois qu’elle a été émise.

Les ressources de stockage suivantes prennent en charge les stratégies d’accès stockées :

  • Conteneurs d’objets blob
  • Partages de fichiers
  • Files d’attente
  • Tables

Notes

Une stratégie d’accès stockée sur un conteneur peut être associée à une signature d’accès partagé qui accorde des autorisations au conteneur lui-même ou aux objets blob qu’il contient. De même, une stratégie d’accès stockée sur un partage de fichiers peut être associée à une signature d’accès partagé qui accorde des autorisations au partage lui-même ou aux fichiers qu’il contient.

Les stratégies d’accès stockées ne sont pas prises en charge pour les SAP de délégation d’utilisateur ou les SAP de compte.

Créer ou modifier une stratégie d’accès stockée

La stratégie d'accès d'une signature d'accès partagé comprend l'heure de début, l'heure d'expiration et les autorisations de la signature. Vous pouvez spécifier l’une des options suivantes ou les combiner :

  • Tous ces paramètres sur l’URI de signature et aucun sur la stratégie d’accès stockée
  • Tous ces paramètres sur la stratégie d’accès stockée et aucun sur l’URI

Toutefois, vous ne pouvez pas spécifier de paramètre sur le jeton SAP et la stratégie d’accès stockée.

Pour créer ou modifier une stratégie d’accès stockée, appelez l’opération Set ACL pour la ressource (consultez Set Container ACL, Set Queue ACL, Set Table ACL ou Set Share ACL) avec un corps de la demande qui spécifie les termes de la stratégie d’accès. Le corps de la demande inclut un identificateur signé unique de votre choix, jusqu’à 64 caractères de longueur. Le corps de la demande inclut également des paramètres facultatifs de la stratégie d’accès, comme suit :

<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>
    <Id>unique-64-char-value</Id>  
    <AccessPolicy>  
      <Start>start-time</Start>  
      <Expiry>expiry-time</Expiry>  
      <Permission>abbreviated-permission-list</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  

Vous pouvez définir un maximum de cinq stratégies d’accès sur un conteneur, une table, une file d’attente ou un partage à la fois. Chaque champ SignedIdentifier, avec son champ Id unique, correspond à une seule stratégie d'accès. Si vous essayez de définir plus de cinq stratégies d’accès à la fois, le service retourne le code d’état 400 (requête incorrecte).

Notes

Lorsque vous créez ou mettez à jour une stratégie d’accès stockée sur un conteneur, une table, une file d’attente ou un partage, la modification peut prendre jusqu’à 30 secondes. Pendant cet intervalle, les demandes adressées à une signature d’accès partagé associée à la stratégie d’accès stockée peuvent échouer avec le code d’état 403 (Interdit), jusqu’à ce que la stratégie d’accès devienne active.

Vous ne pouvez pas spécifier de restrictions de plage pour les entités de table (startpk, et startrkendpkendrk) dans une stratégie d’accès stockée.

Modifier ou révoquer une stratégie d’accès stockée

Pour modifier les paramètres d’une stratégie d’accès stockée, vous pouvez appeler l’opération de liste de contrôle d’accès (ACL) pour le type de ressource afin de remplacer la stratégie existante. Dans cette opération, spécifiez une nouvelle heure de début, une heure d’expiration ou un ensemble d’autorisations.

Par exemple, si votre stratégie existante accorde des autorisations de lecture et d'écriture sur une ressource, modifiez-la afin d'accorder uniquement des autorisations de lecture pour toutes les demandes futures. Dans ce cas, l’identificateur signé de la nouvelle stratégie, tel que spécifié par le ID champ, serait identique à l’identificateur signé de la stratégie que vous remplacez.

Pour révoquer une stratégie d’accès stockée, vous pouvez la supprimer, la renommer en modifiant l’identificateur signé ou en remplaçant l’heure d’expiration par une valeur dans le passé. La modification de l'identificateur signé désactive les associations entre les signatures existantes et la stratégie d'accès stockée. La définition de l’heure d’expiration sur valeur dans le passé provoque l’expiration des signatures associées. La suppression ou la modification de la stratégie d’accès stockée affecte immédiatement toutes les signatures d’accès partagé associées.

Pour supprimer une stratégie d’accès unique, appelez l’opération de Set ACL la ressource. Transmettez l’ensemble d’identificateurs signés que vous souhaitez conserver sur le conteneur. Pour supprimer toutes les stratégies d’accès de la ressource, appelez l’opération Set ACL avec un corps de demande vide.

Voir aussi