Buat Izin
Operasi Create Permission
membuat izin (deskriptor keamanan) di tingkat berbagi. Anda dapat menggunakan deskriptor keamanan yang dibuat untuk file dan direktori dalam berbagi. API ini tersedia pada versi 2019-02-02.
Ketersediaan protokol
Protokol berbagi file yang diaktifkan | Tersedia |
---|---|
SMB | |
NFS |
Minta
Anda dapat membuat permintaan Create Permission
seperti yang ditunjukkan di sini. Kami menyarankan agar Anda menggunakan HTTPS.
Metode | Meminta URI | Versi HTTP |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Ganti komponen jalur yang ditampilkan dalam URI permintaan dengan komponen Anda sendiri, seperti yang ditunjukkan di sini:
Komponen jalur | Deskripsi |
---|---|
myaccount |
Nama akun penyimpanan Anda. |
myshare |
Nama berbagi file Anda. Nama hanya boleh berisi karakter huruf kecil. |
Untuk informasi tentang pembatasan penamaan jalur, lihat Nama dan berbagi referensi, direktori, file, dan metadata.
Parameter URI
Anda dapat menentukan parameter tambahan pada URI permintaan seperti yang ditunjukkan di sini:
Parameter | Deskripsi |
---|---|
timeout |
Fakultatif. Parameter timeout dinyatakan dalam hitung detik. Untuk informasi selengkapnya, lihat Mengatur batas waktu untuk operasi layanan Antrean. |
Header permintaan
Header permintaan yang diperlukan dan opsional dijelaskan dalam tabel berikut:
Header permintaan | Deskripsi |
---|---|
Authorization |
Diperlukan. Menentukan skema otorisasi, nama akun penyimpanan, dan tanda tangan. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan ke Azure Storage. |
Date atau x-ms-date |
Diperlukan. Menentukan Waktu Universal Terkoordinasi (UTC) untuk permintaan tersebut. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan ke Azure Storage. |
x-ms-version |
Fakultatif. Menentukan versi operasi yang akan digunakan untuk permintaan ini. Untuk informasi selengkapnya, lihat Penerapan Versi untuk layanan Azure Storage. |
x-ms-client-request-id |
Fakultatif. Menyediakan nilai buram yang dihasilkan klien dengan batas karakter 1 kibibyte (KiB) yang dicatat dalam log saat pengelogan dikonfigurasi. Kami sangat menyarankan Anda menggunakan header ini untuk menghubungkan aktivitas sisi klien dengan permintaan yang diterima server. Untuk informasi selengkapnya, lihat Memantau Azure Files. |
x-ms-file-request-intent |
Diperlukan jika header Authorization menentukan token OAuth. Nilai yang dapat diterima backup . Header ini menentukan bahwa Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action atau Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action harus diberikan jika disertakan dalam kebijakan RBAC yang ditetapkan ke identitas yang diotorisasi menggunakan header Authorization . Tersedia untuk versi 2022-11-02 dan yang lebih baru. |
Isi permintaan
Anda membuat deskriptor keamanan dengan menempatkan objek JSON di isi permintaan. Objek JSON dapat memiliki bidang berikut:
Jika menggunakan SDDL, format string SDDL dari deskriptor keamanan tidak boleh memiliki pengidentifikasi relatif domain (misalnya, DU, DA, atau DD) di dalamnya.
{
"permission": "<SDDL>"
}
Dalam versi 2024-11-04 atau yang lebih baru, Anda dapat secara eksplisit menentukan bahwa izin dalam format SDDL:
{
"format": "sddl",
"permission": "<SDDL>"
}
Dalam versi 2024-11-04 atau yang lebih baru, Anda juga dapat membuat izin dalam format biner berenkode base-64. Dalam hal ini, Anda harus secara eksplisit menentukan bahwa formatnya "binary"
.
{
"format": "binary",
"permission": "<base64>"
}
Permintaan sampel
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Jawaban
Respons mencakup kode status HTTP dan sekumpulan header respons.
Kode status
Operasi yang berhasil mengembalikan kode status 201 (Dibuat).
Untuk informasi tentang kode status, lihat Status dan kode kesalahan.
Header respons
Respons untuk operasi ini mencakup header berikut. Respons mungkin juga menyertakan header HTTP standar tambahan. Semua header standar sesuai dengan spesifikasi protokol HTTP/1.1 .
Header respons | Deskripsi |
---|---|
x-ms-request-id |
Mengidentifikasi permintaan yang dibuat secara unik, dan Anda dapat menggunakannya untuk memecahkan masalah permintaan. |
x-ms-version |
Menunjukkan versi Azure Files yang digunakan untuk menjalankan permintaan. |
Date atau x-ms-date |
Nilai tanggal/waktu UTC yang dihasilkan oleh layanan dan yang menunjukkan waktu ketika respons dimulai. |
x-ms-file-permission-key |
Kunci izin yang dibuat. |
x-ms-client-request-id |
Dapat digunakan untuk memecahkan masalah permintaan dan respons yang sesuai. Nilai header ini sama dengan nilai header x-ms-client-request-id jika ada dalam permintaan dan nilai berisi tidak lebih dari 1.024 karakter ASCII yang terlihat. Jika header x-ms-client-request-id tidak ada dalam permintaan, header tersebut tidak ada dalam respons. |
Isi respons
Tidak.
Otorisasi
Hanya pemilik akun atau pemanggil yang memiliki tanda tangan akses bersama tingkat berbagi dengan otorisasi tulis dan hapus yang dapat memanggil operasi ini.
Komentar
Untuk membuat format SDDL portabel di seluruh domain dan komputer yang bergabung dengan non-domain, pemanggil dapat menggunakan ConvertSecurityDescriptorToStringSecurityDescriptor fungsi Windows untuk mendapatkan string SDDL dasar untuk deskriptor keamanan. Pemanggil kemudian dapat mengganti notasi SDDL yang tercantum dalam tabel berikut dengan nilai SID yang benar.
Nama | Notasi SDDL | Nilai SID | Deskripsi |
---|---|---|---|
Administrator Lokal | LA | S-1-5-21-domain-500 | Akun pengguna untuk administrator sistem. Secara default, ini adalah satu-satunya akun pengguna yang diberikan kontrol penuh atas sistem. |
Tamu Lokal | LG | S-1-5-21-domain-501 | Akun pengguna untuk orang yang tidak memiliki akun individual. Akun pengguna ini tidak memerlukan kata sandi. Secara default, akun Tamu dinonaktifkan. |
Penerbit Sertifikat | CA | S-1-5-21-domain-517 | Grup global yang mencakup semua komputer yang menjalankan otoritas sertifikasi perusahaan. Penerbit Sertifikat berwenang untuk menerbitkan sertifikat untuk objek Pengguna di Direktori Aktif. |
Admin Domain | DA | S-1-5-21-domain-512 | Grup global yang anggotanya berwenang untuk mengelola domain. Secara default, grup Admin Domain adalah anggota grup Administrator di semua komputer yang telah bergabung dengan domain, termasuk Pengendali Domain. Admin Domain adalah pemilik default objek apa pun yang dibuat oleh anggota grup mana pun. |
Pengendali Domain | DD | S-1-5-21-domain-516 | Grup global yang menyertakan semua Pengendali Domain di domain. Pengendali Domain Baru ditambahkan ke grup ini secara default. |
Pengguna Domain | DU | S-1-5-21-domain-513 | Grup global yang, secara default, menyertakan semua akun pengguna dalam domain. Saat Anda membuat akun pengguna di domain, akun ditambahkan ke grup ini secara default. |
Tamu Domain | DG | S-1-5-21-domain-514 | Grup global yang, secara default, hanya memiliki satu anggota, akun Tamu bawaan domain. |
Komputer Domain | Arus searah | S-1-5-21-domain-515 | Grup global yang mencakup semua klien dan server yang telah bergabung dengan domain. |
Admin Skema | SA | Domain S-1-5-21root-518 | Grup universal dalam domain mode asli; grup global dalam domain mode campuran. Grup ini berwenang untuk membuat perubahan skema di Direktori Aktif. Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest. |
Admin Perusahaan | EA | Domain S-1-5-21root-519 | Grup universal dalam domain mode asli; grup global dalam domain mode campuran. Grup ini berwenang untuk membuat perubahan di seluruh hutan di Direktori Aktif, seperti menambahkan domain anak. Secara default, satu-satunya anggota grup adalah akun Administrator untuk domain akar forest. |
Pemilik Pembuat Kebijakan Grup | PA | S-1-5-21-domain-520 | Grup global yang berwenang untuk membuat objek Kebijakan Grup baru di Direktori Aktif. |
Server RAS dan IAS | RS | S-1-5-21-domain-553 | Grup lokal domain. Secara default, grup ini tidak memiliki anggota. Server Akses Jarak Jauh (RAS) dan server Layanan Autentikasi Internet (IAS) dalam grup ini memiliki Pembatasan Akun Baca dan akses Informasi Masuk Baca ke objek Pengguna di grup lokal domain Direktori Aktif. |
Pengendali Domain Baca-saja Perusahaan | ED | S-1-5-21-domain-498 | Sebuah kelompok universal. Anggota grup ini adalah Pengendali Domain Baca-saja di perusahaan. |
Pengontrol Domain Baca-saja | RO | S-1-5-21-domain-521 | Grup global. Anggota grup ini adalah Pengendali Domain Baca-saja di domain. |