Blobok nem módosíthatósági szabályzatának beállítása

A Set Blob Immutability Policy művelet beállítja a nem módosíthatósági szabályzatot egy blobon. Ez a művelet nem frissíti a blob ETagjét. Ez az API a 2020-06-12-es verziótól érhető el.

Kérés

A Set Blob Immutability Policy kérelem az alábbiak szerint hozható létre. Javasoljuk, hogy HTTPS-t használjon. Cserélje le a myaccount kifejezést a tárfiók nevére, a myblob kifejezést pedig arra a blobnévre, amelynek módosítandó a módosíthatatlansági szabályzata.

Metódus	Kérés URI-ja	HTTP-verzió
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

URI-paraméterek

A kérelem URI-ján a következő további paramétereket adhatja meg:

Paraméter	Leírás
snapshot	Választható. A pillanatkép-paraméter egy átlátszatlan DateTime érték, amely a blobpillanatképet adja meg a réteg beállításához. A blobpillanatképek használatával kapcsolatos további információkért lásd: Létrehozás egy blob pillanatképét
versionid	Nem kötelező a 2019-12-12-es és újabb verziókhoz. A versionid paraméter egy átlátszatlan DateTime érték, amely a blob verzióját adja meg a réteg beállításához.
timeout	Választható. A timeout paraméter másodpercben van kifejezve. További információ: Időtúllépések beállítása Blob Storage-műveletekhez.

Kérésfejlécek

A szükséges és nem kötelező kérésfejléceket az alábbi táblázat ismerteti:

Kérelem fejléce	Leírás
Authorization	Kötelező. Megadja az engedélyezési sémát, a tárfiók nevét és az aláírást. További információ: Kérelmek engedélyezése az Azure Storage-ba.
Date vagy x-ms-date	Kötelező. Megadja a kérés egyezményes világidő (UTC) formátumban kifejezett időpontját. További információ: Kérelmek engedélyezése az Azure Storage-ba.
x-ms-immutability-policy-until-date	Kötelező. A blobon beállítandó dátumig tartó adatmegőrzést jelzi. Ez az a dátum, amíg a blob nem módosítható vagy törölhető. Blob Storage- vagy általános célú v2-fiók esetén az érvényes értékek RFC1123 formátumúak. A korábbi időpontok érvénytelenek.
x-ms-immutability-policy-mode	Választható. Ha nincs megadva, az alapértelmezett érték a .Unlocked A blobon beállítandó módosíthatatlansági szabályzatmódot jelzi. Blob Storage- vagy általános célú v2-fiók esetén az érvényes értékek a következők Unlocked/Locked: . unlocked azt jelzi, hogy a felhasználó módosíthatja a szabályzatot a megőrzés dátumig történő növelésével vagy csökkentésével. locked azt jelzi, hogy ezek a műveletek tiltottak.
x-ms-version	Minden engedélyezett kéréshez szükséges. A kérelemhez használandó művelet verzióját adja meg. További információ: Az Azure Storage-szolgáltatások verziószámozása.
x-ms-client-request-id	Választható. Ügyfél által generált, átlátszatlan értéket biztosít egy 1 kibibyte (KiB) karakterkorláttal, amelyet a naplózás konfigurálásakor rögzít a naplókban. Javasoljuk, hogy ezt a fejlécet használva korrelálja az ügyféloldali tevékenységeket a kiszolgáló által kapott kérésekkel. További információ: Azure Blob Storage figyelése.

Ez a művelet feltételes fejlécek használatát is támogatja a blob beállításához, ha egy adott feltétel teljesül. További információ: Feltételes fejlécek megadása Blob Storage-műveletekhez.

A kérés törzse

Nincsenek.

Reagálás

A válasz egy HTTP-állapotkódot és válaszfejléceket tartalmaz.

Állapotkód

A sikeres művelet a 200 -os állapotkódot adja vissza (OK).

Az állapotkódokkal kapcsolatos információkért lásd: Állapot- és hibakódok.

Válaszfejlécek

A műveletre adott válasz az alábbi fejléceket tartalmazza. A válasz további szabványos HTTP-fejléceket is tartalmazhat. Minden szabványos fejléc megfelel a HTTP/1.1 protokoll specifikációjának.

Válaszfejléc	Description
x-ms-request-id	Egyedileg azonosítja a kérést, amely a kérés hibaelhárításához használható. További információ: API-műveletek hibaelhárítása.
x-ms-version	A kérés végrehajtásához használt Blob Storage-verziót jelzi. A 2009-09-19-es és újabb verzióval kapcsolatos kérések visszaadva.
x-ms-client-request-id	A kérések és a megfelelő válaszok hibaelhárítására használható. A fejléc értéke megegyezik a x-ms-client-request-id kérelemben szereplő fejléc értékével, és az érték legfeljebb 1024 látható ASCII-karaktert tartalmaz. Ha a x-ms-client-request-id fejléc nem szerepel a kérelemben, akkor az nem jelenik meg a válaszban.
x-ms-immutability-policy-until-date	A blobon beállítandó adatmegőrzési dátumot jelzi. Ez az a dátum, amíg a blob nem módosítható vagy törölhető.
x-ms-immutability-policy-mode	A blobon beállított módosíthatatlansági szabályzatmódot jelzi. Az értékek a következők: unlocked és locked. Azunlocked érték azt jelzi, hogy a felhasználó módosíthatja a házirendet a megőrzési dátum növelésével vagy csökkentésével, és locked azt jelzi, hogy ezek a műveletek tiltottak.

Engedélyezés

Az azure storage-beli adathozzáférési műveletek meghívásakor engedélyezés szükséges. A műveletet az Set Blob Immutability Policy alábbiak szerint engedélyezheti.

Fontos

A Microsoft a Microsoft Entra ID felügyelt identitásokkal való használatát javasolja az Azure Storage felé irányuló kérések engedélyezéséhez. Microsoft Entra ID a megosztott kulcsos hitelesítéshez képest kiemelkedő biztonságot és könnyű használatot biztosít.

Microsoft Entra ID (ajánlott)

Az Azure Storage támogatja a Microsoft Entra ID használatát a blobadatokra irányuló kérések engedélyezéséhez. A Microsoft Entra ID azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy rendszerbiztonsági tagnak. A rendszerbiztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy Azure-beli felügyelt identitás. A rendszerbiztonsági tag hitelesítését a Microsoft Entra ID végzi egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Blob szolgáltatásra irányuló kérések engedélyezésére használható.

További információ a Microsoft Entra ID használatával történő engedélyezésről: Blobokhoz való hozzáférés engedélyezése Microsoft Entra ID használatával.

Engedélyek

Az alábbiakban azokat az RBAC-műveletet soroljuk fel, amelyek szükségesek ahhoz, hogy egy Microsoft Entra felhasználó, csoport, felügyelt identitás vagy szolgáltatásnév meghívja a műveletet, valamint a legkevésbé emelt jogosultságú beépített Azure RBAC-szerepkört, amely tartalmazza ezt a Set Blob Immutability Policy műveletet:

• Azure RBAC-művelet:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
• Legkevésbé kiemelt beépített szerepkör:Storage-blobadatok tulajdonosa

A szerepkörök Azure RBAC-vel való hozzárendeléséről további információt az Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez című témakörben talál.

Közös hozzáférésű jogosultságkódok (SAS)

A közös hozzáférésű jogosultságkód (SAS) biztonságos delegált hozzáférést biztosít a tárfiók erőforrásaihoz. Sas esetén részletes vezérléssel rendelkezik arról, hogy az ügyfél hogyan férhet hozzá az adatokhoz. Megadhatja, hogy az ügyfél milyen erőforráshoz férhet hozzá, milyen engedélyekkel rendelkezik ezekhez az erőforrásokhoz, és hogy az SAS mennyi ideig érvényes.

A Set Blob Immutability Policy művelet háromféle közös hozzáférésű jogosultságkódot támogat: a felhasználói delegálási SAS-t, a szolgáltatás SAS-t és a fiók SAS-t.

Ajánlott biztonsági gyakorlatként azt javasoljuk, hogy a tárfiókkulcs helyett Microsoft Entra hitelesítő adatokat használjon, amelyek könnyebben sérülhetnek. Ha az alkalmazás kialakításához közös hozzáférésű jogosultságkódra van szükség, Microsoft Entra hitelesítő adatokkal hozzon létre egy felhasználói delegálási SAS-t, ha lehetséges.

Ha a megosztott kulcs hozzáférése nincs engedélyezve a tárfiókhoz, a Blob Storage-ra irányuló kérések esetén a szolgáltatás SAS-jogkivonata vagy a fiók SAS-jogkivonata nem lesz engedélyezve. További információ: A megosztott kulcs letiltása hogyan befolyásolja az SAS-jogkivonatokat.

Felhasználói delegálási SAS

A felhasználói delegálási SAS-t Microsoft Entra hitelesítő adatokkal és az SAS-hez megadott engedélyekkel védik.

A Set Blob Immutability Policy művelet tárolóba vagy bloberőforrásba delegált SAS-jogkivonat használatával történő meghívásához a felhasználó delegálási SAS-jogkivonatának részeként nem módosítható tároló (i) engedély szükséges.

A felhasználói delegálási SAS-ről a felhasználói delegálási SAS Létrehozás című témakörben olvashat bővebben.

Szolgáltatás SAS

A szolgáltatás SAS-t a tárfiókkulcs védi. A szolgáltatás sasa egyetlen Azure Storage-szolgáltatásban, például a blobtárolóban delegálja a hozzáférést egy erőforráshoz.

A Set Blob Immutability Policy művelet tárolóba vagy bloberőforrásba delegált SAS-jogkivonat használatával történő meghívásához a szolgáltatás SAS-jogkivonatának részeként nem módosítható tárolási (i) engedély szükséges.

A szolgáltatás SAS-járól további információt a szolgáltatás SAS-Létrehozás című témakörben talál.

Fiók SAS-fiókja

A fiók SAS-jének biztonságát a tárfiókkulcs biztosítja. A fiókalapú SAS egy vagy több tárolószolgáltatás erőforrásaihoz nyújt hozzáférést. A szolgáltatáson vagy a felhasználói delegálási SAS-en keresztül elérhető összes művelet fiók SAS-en keresztül is elérhető.

Az alábbi táblázat az aláírt erőforrástípust és az aláírt engedélyeket jelzi, amelyet a hozzáférés delegálásakor meg kell adni:

Művelet	Aláírt szolgáltatás	Aláírt erőforrástípus	Aláírt engedély
Blob nem módosíthatósági szabályzatának beállítása	Blob (b)	Objektum (o)	Nem módosítható tároló (i)

A fiók SAS-járól további információt a fiók SAS-Létrehozás című témakörben talál.

Megosztott kulcs

A művelet támogatja a Set Blob Immutability Policymegosztott kulcs engedélyezését. A fiókkulcsokkal való engedélyezés a legtöbb esetben nem ajánlott, mivel kevésbé biztonságos.

A Microsoft azt javasolja, hogy ha lehetséges, tiltsa le a megosztott kulcs engedélyezését a tárfiókhoz. További információ: Engedélyezés megakadályozása megosztott kulccsal.

Megjegyzések

A blob módosíthatatlansági szabályzatának blobtárolóra vagy általános célú v2-fiókra való beállítása a következő korlátozásokkal jár:

• A 2020-06-12-es REST-verziótól engedélyezve van egy módosíthatatlansági szabályzat beállítása pillanatképre vagy verzióra.
• Ha a módosíthatatlansági szabályzat módban van unlocked , a felhasználók frissíthetik a megőrzést a dátumig . Ha a módosíthatatlansági szabályzat módban van locked , a felhasználók csak a dátumig meghosszabbíthatják a megőrzést . A módosíthatatlanság szabályzatmódja a-ról unlocked a-ra lockedmódosítható, de nem a-ről locked a-ra unlocked.
• Ha egy blobon módosíthatatlansági szabályzat van, és a tárolón vagy a fiókon is van alapértelmezett módosíthatatlansági szabályzat, a blob nem módosíthatósági szabályzata elsőbbséget élvez.
• Blobszintű nem módosítható szabályzat PutBlockList/PutBlob/CopyBlob esetén a műveletek engedélyezettek, mert ezek a műveletek új verziót hoznak létre.
• Ha a módosíthatatlansági szabályzat módban van unlocked , a felhasználók az alábbi API-val törölhetik a módosíthatatlansági szabályzatot:

Metódus	Kérés URI-ja	HTTP-verzió
Delete	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Megjegyzés

További információ: Nem módosítható tároló.

Számlázás

A díjszabási kérések a Blob Storage API-kat használó ügyfelektől, közvetlenül a Blob Storage REST API-ból vagy egy Azure Storage-ügyfélkódtárból származhatnak. Ezek a kérések tranzakciónkénti díjakat halmoznak fel. A tranzakció típusa befolyásolja a fiók terhelését. Az olvasási tranzakciók például más számlázási kategóriába tartoznak, mint az írási tranzakciók. Az alábbi táblázat a tárfiók típusa alapján a kérelmek számlázási kategóriáját Set Blob Immutability Policy mutatja be:

Művelet	Tárfiók típusa	Számlázási kategória
Blob nem módosíthatósági szabályzatának beállítása	Prémium szintű blokkblob Standard általános célú v2 Standard általános célú v1	Egyéb műveletek

A megadott számlázási kategória díjszabásával kapcsolatos további információkért lásd: Azure Blob Storage Díjszabás.

Lásd még

Kérések engedélyezése az Azure Storage-ba
Állapot- és hibakódok
Blob Storage-hibakódok
Időtúllépések beállítása a Blob Storage-műveletekhez