Bagikan melalui

Buat Izin

  • Artikel

Operasi Create Permission membuat izin (deskriptor keamanan) di tingkat berbagi. Anda dapat menggunakan deskriptor keamanan yang dibuat untuk file dan direktori dalam berbagi. API ini tersedia pada versi 2019-02-02.

Ketersediaan protokol

Protokol berbagi file yang diaktifkan Tersedia
SMB Ya
NFS Tidak ada

Minta

Anda dapat membuat permintaan Create Permission seperti yang ditunjukkan di sini. Kami menyarankan agar Anda menggunakan HTTPS.

Metode Meminta URI Versi HTTP
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Ganti komponen jalur yang ditampilkan dalam URI permintaan dengan komponen Anda sendiri, seperti yang ditunjukkan di sini:

Komponen jalur Deskripsi
myaccount Nama akun penyimpanan Anda.
myshare Nama berbagi file Anda. Nama hanya boleh berisi karakter huruf kecil.

Untuk informasi tentang pembatasan penamaan jalur, lihat Nama dan berbagi referensi, direktori, file, dan metadata.

Parameter URI

Anda dapat menentukan parameter tambahan pada URI permintaan seperti yang ditunjukkan di sini:

Parameter Deskripsi
timeout Fakultatif. Parameter timeout dinyatakan dalam hitung detik. Untuk informasi selengkapnya, lihat Mengatur batas waktu untuk operasi layanan Antrean.

Header permintaan

Header permintaan yang diperlukan dan opsional dijelaskan dalam tabel berikut:

Header permintaan Deskripsi
Authorization Diperlukan. Menentukan skema otorisasi, nama akun penyimpanan, dan tanda tangan. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan ke Azure Storage.
Date atau x-ms-date Diperlukan. Menentukan Waktu Universal Terkoordinasi (UTC) untuk permintaan tersebut. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan ke Azure Storage.
x-ms-version Fakultatif. Menentukan versi operasi yang akan digunakan untuk permintaan ini. Untuk informasi selengkapnya, lihat Penerapan Versi untuk layanan Azure Storage.
x-ms-client-request-id Fakultatif. Menyediakan nilai buram yang dihasilkan klien dengan batas karakter 1 kibibyte (KiB) yang dicatat dalam log saat pengelogan dikonfigurasi. Kami sangat menyarankan Anda menggunakan header ini untuk menghubungkan aktivitas sisi klien dengan permintaan yang diterima server. Untuk informasi selengkapnya, lihat Memantau Azure Files.
x-ms-file-request-intent Diperlukan jika header Authorization menentukan token OAuth. Nilai yang dapat diterima backup. Header ini menentukan bahwa Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action atau Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action harus diberikan jika disertakan dalam kebijakan RBAC yang ditetapkan ke identitas yang diotorisasi menggunakan header Authorization. Tersedia untuk versi 2022-11-02 dan yang lebih baru.

Isi permintaan

Anda membuat deskriptor keamanan dengan menempatkan objek JSON di isi permintaan. Objek JSON dapat memiliki bidang berikut:

Kunci JSON Deskripsi
permission Diperlukan. Izin dalam Security Descriptor Definition Language (SDDL) atau (versi 2024-11-04 atau yang lebih baru) dalam format deskriptor keamanan biner yang dikodekan base64. Pendeskripsi keamanan harus memiliki pemilik, grup, dan daftar kontrol akses diskresi (DACL) .
format Fakultatif. Versi 2024-11-04 atau yang lebih baru. Menjelaskan format izin yang disediakan dalam permission. Jika ditentukan, bidang ini harus diatur ke "sddl" atau "binary". Jika dihilangkan, default "sddl" digunakan.

Jika menggunakan SDDL, format string SDDL dari deskriptor keamanan tidak boleh memiliki pengidentifikasi relatif domain (misalnya, DU, DA, atau DD) di dalamnya.

{
    "permission": "<SDDL>"
}

Dalam versi 2024-11-04 atau yang lebih baru, Anda dapat secara eksplisit menentukan bahwa izin dalam format SDDL:

{
    "format": "sddl",
    "permission": "<SDDL>"
}

Dalam versi 2024-11-04 atau yang lebih baru, Anda juga dapat membuat izin dalam format biner berenkode base-64. Dalam hal ini, Anda harus secara eksplisit menentukan bahwa formatnya "binary".

{
    "format": "binary",
    "permission": "<base64>"
}

Permintaan sampel

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Jawaban

Respons mencakup kode status HTTP dan sekumpulan header respons.

Kode status

Operasi yang berhasil mengembalikan kode status 201 (Dibuat).

Untuk informasi tentang kode status, lihat Status dan kode kesalahan.

Header respons

Respons untuk operasi ini mencakup header berikut. Respons mungkin juga menyertakan header HTTP standar tambahan. Semua header standar sesuai dengan spesifikasi protokol HTTP/1.1 .

Header respons Deskripsi
x-ms-request-id Mengidentifikasi permintaan yang dibuat secara unik, dan Anda dapat menggunakannya untuk memecahkan masalah permintaan.
x-ms-version Menunjukkan versi Azure Files yang digunakan untuk menjalankan permintaan.
Date atau x-ms-date Nilai tanggal/waktu UTC yang dihasilkan oleh layanan dan yang menunjukkan waktu ketika respons dimulai.
x-ms-file-permission-key Kunci izin yang dibuat.
x-ms-client-request-id Dapat digunakan untuk memecahkan masalah permintaan dan respons yang sesuai. Nilai header ini sama dengan nilai header x-ms-client-request-id jika ada dalam permintaan dan nilai berisi tidak lebih dari 1.024 karakter ASCII yang terlihat. Jika header x-ms-client-request-id tidak ada dalam permintaan, header tersebut tidak ada dalam respons.

Isi respons

Tidak.

Otorisasi

Hanya pemilik akun atau pemanggil yang memiliki tanda tangan akses bersama tingkat berbagi dengan otorisasi tulis dan hapus yang dapat memanggil operasi ini.

Komentar

Untuk membuat format SDDL portabel di seluruh domain dan komputer yang bergabung dengan non-domain, pemanggil dapat menggunakan ConvertSecurityDescriptorToStringSecurityDescriptor fungsi Windows untuk mendapatkan string SDDL dasar untuk deskriptor keamanan. Pemanggil kemudian dapat mengganti notasi SDDL yang tercantum dalam tabel berikut dengan nilai SID yang benar.

Nama Notasi SDDL Nilai SID Deskripsi
Administrator Lokal LA S-1-5-21-domain-500 Akun pengguna untuk administrator sistem. Secara default, ini adalah satu-satunya akun pengguna yang diberikan kontrol penuh atas sistem.
Tamu Lokal LG S-1-5-21-domain-501 Akun pengguna untuk orang yang tidak memiliki akun individual. Akun pengguna ini tidak memerlukan kata sandi. Secara default, akun Tamu dinonaktifkan.
Penerbit Sertifikat CA S-1-5-21-domain-517 Grup global yang mencakup semua komputer yang menjalankan otoritas sertifikasi perusahaan. Penerbit Sertifikat berwenang untuk menerbitkan sertifikat untuk objek Pengguna di Direktori Aktif.
Admin Domain DA S-1-5-21-domain-512 Grup global yang anggotanya berwenang untuk mengelola domain. Secara default, grup Admin Domain adalah anggota grup Administrator di semua komputer yang telah bergabung dengan domain, termasuk Pengendali Domain. Admin Domain adalah pemilik default objek apa pun yang dibuat oleh anggota grup mana pun.
Pengendali Domain DD S-1-5-21-domain-516 Grup global yang menyertakan semua Pengendali Domain di domain. Pengendali Domain Baru ditambahkan ke grup ini secara default.
Pengguna Domain DU S-1-5-21-domain-513 Grup global yang, secara default, menyertakan semua akun pengguna dalam domain. Saat Anda membuat akun pengguna di domain, akun ditambahkan ke grup ini secara default.
Tamu Domain DG S-1-5-21-domain-514 Grup global yang, secara default, hanya memiliki satu anggota, akun Tamu bawaan domain.
Komputer Domain Arus searah S-1-5-21-domain-515 Grup global yang mencakup semua klien dan server yang telah bergabung dengan domain.
Admin Skema SA Domain S-1-5-21root-518 Grup universal dalam domain mode asli; grup global dalam domain mode campuran. Grup ini berwenang untuk membuat perubahan skema di Direktori Aktif. Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest.
Admin Perusahaan EA Domain S-1-5-21root-519 Grup universal dalam domain mode asli; grup global dalam domain mode campuran. Grup ini berwenang untuk membuat perubahan di seluruh hutan di Direktori Aktif, seperti menambahkan domain anak. Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest.
Pemilik Pembuat Kebijakan Grup PA S-1-5-21-domain-520 Grup global yang berwenang untuk membuat objek Kebijakan Grup baru di Direktori Aktif.
Server RAS dan IAS RS S-1-5-21-domain-553 Grup lokal domain. Secara default, grup ini tidak memiliki anggota. Server Akses Jarak Jauh (RAS) dan server Layanan Autentikasi Internet (IAS) dalam grup ini memiliki Pembatasan Akun Baca dan akses Informasi Masuk Baca ke objek Pengguna di grup lokal domain Direktori Aktif.
Pengendali Domain Baca-saja Perusahaan ED S-1-5-21-domain-498 Sebuah kelompok universal. Anggota grup ini adalah Pengendali Domain Baca-saja di perusahaan.
Pengontrol Domain Baca-saja RO S-1-5-21-domain-521 Grup global. Anggota grup ini adalah Pengendali Domain Baca-saja di domain.