Blob jogi célú visszatartásának beállítása

A Set Blob Legal Hold művelet beállítja a blob jogi célú visszatartást. Ez a művelet nem frissíti a blob ETagjét. Ez az API a 2020-04-08-as verziótól érhető el.

Kérés

A Set Blob Legal Hold kérelem az alábbiak szerint hozható létre. Javasoljuk, hogy HTTPS-t használjon. Cserélje le a myaccount kifejezést a tárfiók nevére, a myblob kifejezést pedig arra a blobnévre, amelynek a jogi célú visszatartását módosítani szeretné.

Metódus	Kérés URI-ja	HTTP-verzió
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=legalhold	HTTP/1.1

URI-paraméterek

A kérelem URI-ján a következő további paramétereket adhatja meg:

Paraméter	Leírás
snapshot	Választható. A pillanatkép-paraméter egy átlátszatlan DateTime érték, amely jelen esetben megadja a blobpillanatképet a szint beállításához. A blobpillanatképek használatával kapcsolatos további információkért lásd: Létrehozás egy blob pillanatképét
versionid	Nem kötelező a 2019-12-12-es és újabb verziókhoz. A versionid paraméter egy átlátszatlan DateTime érték, amely jelen esetben a blob verzióját adja meg a réteg beállításához.
timeout	Választható. A timeout paraméter másodpercben van kifejezve. További információ: Időtúllépések beállítása Blob Storage-műveletekhez.

Kérésfejlécek

A szükséges és nem kötelező kérésfejléceket az alábbi táblázat ismerteti:

Kérelem fejléce	Leírás
Authorization	Kötelező. Megadja az engedélyezési sémát, a tárfiók nevét és az aláírást. További információ: Kérelmek engedélyezése az Azure Storage-ba.
Date vagy x-ms-date	Kötelező. Megadja a kérés egyezményes világidő (UTC) formátumban kifejezett időpontját. További információ: Kérelmek engedélyezése az Azure Storage-ba.
x-ms-legal-hold	Választható. Beállítja vagy eltávolítja a blob jogi célú visszatartást. Blob Storage- vagy általános célú v2-fiókok esetén az érvényes értékek a következők: true és false.
x-ms-version	Minden engedélyezett kéréshez szükséges. A kérelemhez használandó művelet verzióját adja meg. További információ: Az Azure Storage-szolgáltatások verziószámozása.
x-ms-client-request-id	Választható. Ügyfél által generált, átlátszatlan értéket biztosít egy 1 kibibyte (KiB) karakterkorláttal, amelyet a naplózás konfigurálásakor rögzít a naplókban. Javasoljuk, hogy ezt a fejlécet használva korrelálja az ügyféloldali tevékenységeket a kiszolgáló által kapott kérésekkel. További információ: Azure Blob Storage figyelése.

A kérés törzse

Nincsenek.

Reagálás

A válasz egy HTTP-állapotkódot és válaszfejléceket tartalmaz.

Állapotkód

A sikeres művelet a 200 -os állapotkódot adja vissza (OK).

Az állapotkódokkal kapcsolatos információkért lásd: Állapot- és hibakódok.

Válaszfejlécek

A műveletre adott válasz az alábbi fejléceket tartalmazza. A válasz további szabványos HTTP-fejléceket is tartalmazhat. Minden szabványos fejléc megfelel a HTTP/1.1 protokoll specifikációjának.

Válaszfejléc	Description
x-ms-request-id	Egyedileg azonosítja a kérést, amely a kérés hibaelhárításához használható.
További információ: API-műveletek hibaelhárítása.
x-ms-version	A kérés végrehajtásához használt Blob Storage-verzió. Ez a fejléc lesz visszaadva a 2009-09-19-es és újabb verzióval kapcsolatos kérésekhez.
x-ms-client-request-id	A kérések és a megfelelő válaszok hibaelhárítására használható. A fejléc értéke megegyezik a x-ms-client-request-id kérelemben szereplő fejléc értékével, és az érték legfeljebb 1024 látható ASCII-karaktert tartalmaz. Ha a x-ms-client-request-id fejléc nem szerepel a kérelemben, akkor az nem jelenik meg a válaszban.
x-ms-legal-hold	A blobon beállított jogi mentességet jelzi. Az érvényes értékek a következők: true és false.

Engedélyezés

Az azure storage-beli adathozzáférési műveletek meghívásakor engedélyezés szükséges. A műveletet az Set Blob Legal Hold alábbiak szerint engedélyezheti.

Fontos

A Microsoft a Microsoft Entra ID felügyelt identitásokkal való használatát javasolja az Azure Storage felé irányuló kérések engedélyezéséhez. Microsoft Entra ID a megosztott kulcsos hitelesítéshez képest kiemelkedő biztonságot és könnyű használatot biztosít.

Microsoft Entra ID (ajánlott)

Az Azure Storage támogatja a Microsoft Entra ID használatát a blobadatokra irányuló kérések engedélyezéséhez. A Microsoft Entra ID azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy rendszerbiztonsági tagnak. A rendszerbiztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy Azure-beli felügyelt identitás. A rendszerbiztonsági tag hitelesítését a Microsoft Entra ID végzi egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Blob szolgáltatásra irányuló kérések engedélyezésére használható.

További információ a Microsoft Entra ID használatával történő engedélyezésről: Blobokhoz való hozzáférés engedélyezése Microsoft Entra ID használatával.

Engedélyek

Az alábbiakban azokat az RBAC-műveletet soroljuk fel, amelyek szükségesek ahhoz, hogy egy Microsoft Entra felhasználó, csoport, felügyelt identitás vagy szolgáltatásnév meghívja a műveletet, valamint a legkevésbé emelt jogosultságú beépített Azure RBAC-szerepkört, amely tartalmazza ezt a Set Blob Legal Hold műveletet:

• Azure RBAC-művelet:Microsoft.Storage/storageAccounts/blobServices/containers/write
• Legkevésbé kiemelt beépített szerepkör:Storage-blobadatok közreműködője

A szerepkörök Azure RBAC-vel való hozzárendelésével kapcsolatos további információkért lásd: Azure-szerepkör hozzárendelése blobadatokhoz való hozzáféréshez.

Közös hozzáférésű jogosultságkódok (SAS)

A közös hozzáférésű jogosultságkód (SAS) biztonságos delegált hozzáférést biztosít a tárfiók erőforrásaihoz. Az SAS-sel részletesen szabályozhatja, hogy az ügyfél hogyan férhet hozzá az adatokhoz. Megadhatja, hogy az ügyfél milyen erőforráshoz férhet hozzá, milyen engedélyekkel rendelkezik ezekhez az erőforrásokhoz, és mennyi ideig érvényes az SAS.

A Set Blob Legal Hold művelet háromféle közös hozzáférésű jogosultságkódot támogat: felhasználódelegálási SAS, szolgáltatás SAS és fiók SAS.

Ajánlott biztonsági gyakorlatként azt javasoljuk, hogy a tárfiókkulcs helyett Microsoft Entra hitelesítő adatokat használjon, ami könnyebben feltörhető. Ha az alkalmazás kialakítása közös hozzáférésű jogosultságkódokat igényel, Microsoft Entra hitelesítő adatokkal hozzon létre egy felhasználódelegálási SAS-t, ha lehetséges.

Ha a tárfiók esetében nincs engedélyezve a megosztott kulcshoz való hozzáférés, a blobtárolónak küldött kérések esetén a szolgáltatás SAS-jogkivonata vagy a fiók SAS-jogkivonata nem lesz engedélyezve. További információ: A megosztott kulcs letiltása hogyan befolyásolja az SAS-jogkivonatokat.

Felhasználódelegálási SAS

A felhasználódelegálási SAS-t Microsoft Entra hitelesítő adatok és az SAS-hez megadott engedélyek védik.

Set Blob Legal Hold A művelet tárolóba vagy bloberőforrásba delegált SAS-jogkivonattal történő meghívásához a felhasználó delegálási SAS-jogkivonatának részeként nem módosítható tárolási (i) engedély szükséges.

A felhasználói delegálási SAS-ről a felhasználói delegálási SAS Létrehozás című témakörben olvashat bővebben.

Szolgáltatás SAS

A szolgáltatás SAS-t a tárfiókkulcs védi. A szolgáltatás sasa egyetlen Azure Storage-szolgáltatásban, például a blobtárolóban delegálja a hozzáférést egy erőforráshoz.

A Set Blob Legal Hold művelet tárolóba vagy bloberőforrásba delegált SAS-jogkivonat használatával történő meghívásához a szolgáltatás SAS-jogkivonatának részeként nem módosítható tárolási (i) engedély szükséges.

A szolgáltatás SAS-járól további információt a szolgáltatás SAS-Létrehozás című témakörben talál.

Fiók SAS-fiókja

A fiók SAS-jének biztonságát a tárfiókkulcs biztosítja. A fiókalapú SAS egy vagy több tárolószolgáltatás erőforrásaihoz nyújt hozzáférést. A szolgáltatáson vagy a felhasználói delegálási SAS-en keresztül elérhető összes művelet fiók SAS-en keresztül is elérhető.

Az alábbi táblázat az aláírt erőforrástípust és az aláírt engedélyeket jelzi, amelyet a hozzáférés delegálásakor meg kell adni:

Művelet	Aláírt szolgáltatás	Aláírt erőforrástípus	Aláírt engedély
Blob legal hold beállítása	Blob (b)	Objektum (o)	Nem módosítható tároló (i)

A fiók SAS-járól további információt a fiók SAS-Létrehozás című témakörben talál.

Megosztott kulcs

A művelet támogatja a Set Blob Legal Holdmegosztott kulcs engedélyezését. A fiókkulcsokkal való engedélyezés a legtöbb esetben nem ajánlott, mivel kevésbé biztonságos.

A Microsoft azt javasolja, hogy ha lehetséges, tiltsa le a megosztott kulcs engedélyezését a tárfiókhoz. További információ: Engedélyezés megakadályozása megosztott kulccsal.

Megjegyzések

A blob jogi célú visszatartása blobtárolón vagy általános célú v2-fiókon a következő korlátozásokkal rendelkezik:

• A pillanatképek vagy verziók jogi célú visszatartása a REST 2020-06-12-es verziójától engedélyezett.
• Ha a jogi célú visszatartás értéke true, a felhasználók nem módosíthatják vagy törölhetik a blobot, kivéve néhány speciális művelet esetében, PutBlockList/PutBlob/CopyBlobmert ezek a műveletek új verziót hoznak létre.

Megjegyzés

A nem módosítható tárolóval kapcsolatos részletes információkért lásd: Nem módosítható tároló.

Számlázás

A díjszabási kérések a Blob Storage API-kat használó ügyfelektől, közvetlenül a Blob Storage REST API-ból vagy egy Azure Storage-ügyfélkódtárból származhatnak. Ezek a kérések tranzakciónkénti díjakat halmoznak fel. A tranzakció típusa befolyásolja a fiók terhelését. Az olvasási tranzakciók például más számlázási kategóriába tartoznak, mint az írási tranzakciók. Az alábbi táblázat a tárfiók típusa alapján a kérelmek számlázási kategóriáját Set Blob Legal Hold mutatja be:

Művelet	Tárfiók típusa	Számlázási kategória
Blob legal hold beállítása	Prémium szintű blokkblob Standard általános célú v2 Standard általános célú v1	Egyéb műveletek

A megadott számlázási kategória díjszabásával kapcsolatos további információkért lásd: Azure Blob Storage Díjszabás.

Lásd még

Kérések engedélyezése az Azure Storage-ba
Állapot- és hibakódok
Blob Storage-hibakódok
Időtúllépések beállítása a Blob Storage-műveletekhez