Mengatur Kebijakan Kekekalan Blob

Operasi Set Blob Immutability Policy menetapkan kebijakan imutabilitas pada blob. Operasi ini tidak memperbarui ETag blob. API ini tersedia pada versi 2020-06-12.

Minta

Permintaan Set Blob Immutability Policy dapat dibuat sebagai berikut. Kami menyarankan agar Anda menggunakan HTTPS. Ganti myaccount dengan nama akun penyimpanan Anda dan myblob dengan nama blob yang kebijakan imutabilitasnya akan diubah.

Metode	Meminta URI	Versi HTTP
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Parameter URI

Anda dapat menentukan parameter tambahan berikut pada permintaan URI:

Parameter	Deskripsi
snapshot	Opsional. Parameter rekam jepret adalah nilai buram DateTime yang, ketika ada, menentukan rekam jepret blob untuk mengatur tingkatan. Untuk informasi selengkapnya tentang bekerja dengan rekam jepret blob, lihat Create rekam jepret blob
versionid	Opsional untuk versi 2019-12-12 dan yang lebih baru. Parameter versionid adalah nilai buram DateTime yang, ketika ada, menentukan versi blob untuk mengatur tingkatan.
timeout	Pilihan. Parameter timeout dinyatakan dalam hitung detik. Untuk informasi selengkapnya, lihat Mengatur waktu habis untuk operasi Blob Storage.

Header permintaan

Header permintaan yang diperlukan dan opsional dijelaskan dalam tabel berikut:

Meminta kop	Deskripsi
Authorization	Wajib diisi. Menentukan skema otorisasi, nama akun penyimpanan, dan tanda tangan. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan ke Azure Storage.
Date atau x-ms-date	Wajib diisi. Menentukan Waktu Universal Terkoordinasi (UTC) untuk permintaan tersebut. Untuk informasi selengkapnya, lihat Mengotorisasi permintaan ke Azure Storage.
x-ms-immutability-policy-until-date	Wajib diisi. Menunjukkan retensi hingga tanggal yang akan ditetapkan pada blob. Ini adalah tanggal hingga blob dapat dilindungi agar tidak dimodifikasi atau dihapus. Untuk penyimpanan blob atau akun v2 tujuan umum, nilai yang valid adalah dengan format RFC1123. Waktu lalu tidak valid.
x-ms-immutability-policy-mode	Opsional. Jika tidak ditentukan, nilai defaultnya adalah Unlocked. Menunjukkan mode kebijakan imutabilitas yang akan diatur pada blob. Untuk penyimpanan blob atau akun v2 tujuan umum, nilai yang valid adalah Unlocked/Locked. unlocked menunjukkan pengguna dapat mengubah kebijakan dengan meningkatkan atau mengurangi retensi hingga tanggal. locked menunjukkan bahwa tindakan ini dilarang.
x-ms-version	Diperlukan untuk semua permintaan yang diotorisasi. Menentukan versi operasi yang akan digunakan untuk permintaan ini. Untuk informasi selengkapnya, lihat Penerapan versi untuk layanan Azure Storage.
x-ms-client-request-id	Opsional. Menyediakan nilai buram yang dihasilkan klien dengan batas karakter 1 kibibyte (KiB) yang dicatat dalam log saat pengelogan dikonfigurasi. Kami sangat menyarankan Anda menggunakan header ini untuk menghubungkan aktivitas sisi klien dengan permintaan yang diterima server. Untuk informasi selengkapnya, lihat Memantau Azure Blob Storage.

Operasi ini juga mendukung penggunaan header kondisional untuk mengatur blob hanya jika kondisi tertentu terpenuhi. Untuk informasi selengkapnya, lihat Menentukan header kondisional untuk operasi Blob Storage.

Isi permintaan

Tidak ada.

Respons

Respons mencakup kode status HTTP dan sekumpulan header respons.

Kode status

Operasi yang berhasil mengembalikan kode status 200 (OK).

Untuk informasi tentang kode status, lihat Status dan kode kesalahan.

Header respons

Respons untuk operasi ini mencakup header di bawah ini. Respons juga dapat mencakup header HTTP standar tambahan. Semua header standar sesuai dengan spesifikasi protokol HTTP/1.1.

Header respons	Deskripsi
x-ms-request-id	Secara unik mengidentifikasi permintaan yang dibuat dan dapat digunakan untuk memecahkan masalah permintaan. Untuk informasi selengkapnya, lihat Memecahkan masalah operasi API.
x-ms-version	Menunjukkan versi Blob Storage yang digunakan untuk menjalankan permintaan. Dikembalikan untuk permintaan yang dibuat terhadap versi 2009-09-19 dan yang lebih baru.
x-ms-client-request-id	Dapat digunakan untuk memecahkan masalah permintaan dan respons yang sesuai. Nilai header ini sama dengan nilai x-ms-client-request-id header jika ada dalam permintaan dan nilai berisi tidak lebih dari 1.024 karakter ASCII yang terlihat. x-ms-client-request-id Jika header tidak ada dalam permintaan, header tidak akan ada dalam respons.
x-ms-immutability-policy-until-date	Menunjukkan tanggal retensi hingga yang akan ditetapkan pada blob. Ini adalah tanggal hingga blob dapat dilindungi agar tidak dimodifikasi atau dihapus.
x-ms-immutability-policy-mode	Menunjukkan mode kebijakan imutabilitas yang diatur pada blob. Nilai adalah unlocked dan locked. Nilaiunlocked menunjukkan bahwa pengguna dapat mengubah kebijakan dengan meningkatkan atau mengurangi tanggal retensi hingga , dan locked menunjukkan bahwa tindakan ini dilarang.

Authorization

Otorisasi diperlukan saat memanggil operasi akses data apa pun di Azure Storage. Anda dapat mengotorisasi operasi seperti yang Set Blob Immutability Policy dijelaskan di bawah ini.

Penting

Microsoft merekomendasikan penggunaan Microsoft Entra ID dengan identitas terkelola untuk mengotorisasi permintaan ke Azure Storage. Microsoft Entra ID memberikan keamanan yang unggul dan kemudahan penggunaan dibandingkan dengan otorisasi Kunci Bersama.

Microsoft Entra ID (disarankan)

Azure Storage mendukung penggunaan Microsoft Entra ID untuk mengotorisasi permintaan ke data blob. Dengan Microsoft Entra ID, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada prinsip keamanan. Prinsip keamanan dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola Azure. Prinsip keamanan diautentikasi oleh Microsoft Entra ID untuk mengembalikan token OAuth 2.0. Token kemudian dapat digunakan untuk mengotorisasi permintaan terhadap Blob service.

Untuk mempelajari selengkapnya tentang otorisasi menggunakan Microsoft Entra ID, lihat Mengotorisasi akses ke blob menggunakan Microsoft Entra ID.

Izin

Tercantum di bawah ini adalah tindakan RBAC yang diperlukan untuk pengguna Microsoft Entra, grup, identitas terkelola, atau perwakilan layanan untuk memanggil Set Blob Immutability Policy operasi, dan peran Azure RBAC bawaan yang paling tidak istimewa yang mencakup tindakan ini:

• Tindakan Azure RBAC:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
• Peran bawaan yang paling tidak istimewa:Pemilik Data Blob Penyimpanan

Untuk mempelajari selengkapnya tentang menetapkan peran menggunakan Azure RBAC, lihat Menetapkan peran Azure untuk akses ke data blob.

Tanda tangan akses bersama (SAS)

Tanda tangan akses bersama (SAS) menyediakan akses delegasi yang aman ke sumber daya di akun penyimpanan. Dengan SAS, Anda memiliki kontrol terperinci atas bagaimana klien dapat mengakses data. Anda dapat menentukan sumber daya apa yang dapat diakses klien, izin apa yang mereka miliki ke sumber daya tersebut, dan berapa lama SAS valid.

Operasi ini Set Blob Immutability Policy mendukung tiga jenis tanda tangan akses bersama: SAS delegasi pengguna, SAS layanan, dan SAS akun.

Sebagai praktik terbaik keamanan, kami sarankan Anda menggunakan kredensial Microsoft Entra daripada kunci akun penyimpanan, yang dapat lebih mudah disusupi. Jika desain aplikasi Anda memerlukan tanda tangan akses bersama, gunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna, jika memungkinkan.

Ketika akses Kunci Bersama tidak diizinkan untuk akun penyimpanan, token SAS layanan atau token SAS akun tidak akan diizinkan berdasarkan permintaan ke Blob Storage. Untuk mempelajari lebih lanjut, lihat Memahami bagaimana melarang Kunci Bersama memengaruhi token SAS.

Delegasi pengguna SAS

SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra dan juga oleh izin yang ditentukan untuk SAS.

Memanggil Set Blob Immutability Policy operasi menggunakan token SAS yang didelegasikan ke sumber daya kontainer atau blob memerlukan izin Penyimpanan yang tidak dapat diubah (i) sebagai bagian dari token SAS delegasi pengguna.

Untuk mempelajari selengkapnya tentang SAS delegasi pengguna, lihat Create delegasi pengguna SAS.

Layanan SAS

Layanan SAS diamankan dengan kunci akun penyimpanan. SAS layanan mendelegasikan akses ke sumber daya dalam satu layanan Azure Storage, seperti penyimpanan blob.

Memanggil Set Blob Immutability Policy operasi menggunakan token SAS yang didelegasikan ke kontainer atau sumber daya blob memerlukan izin Penyimpanan tidak dapat diubah (i) sebagai bagian dari token SAS layanan.

Untuk mempelajari selengkapnya tentang layanan SAS, lihat Create layanan SAS.

Akun SAS

Akun SAS diamankan dengan kunci akun penyimpanan. Akun SAS delegasikan akses ke sumber daya di satu atau beberapa layanan penyimpanan. Semua operasi yang tersedia melalui layanan atau delegasi pengguna SAS juga tersedia melalui akun SAS.

Tabel berikut menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk menentukan saat mendelegasikan akses:

Operasi	Layanan yang ditandatangani	Jenis sumber daya yang ditandatangani	Izin yang ditandatangani
Mengatur Kebijakan Kekekalan Blob	Blob (b)	Objek (o)	Penyimpanan yang tidak dapat diubah (i)

Untuk mempelajari selengkapnya tentang akun SAS, lihat Create akun SAS.

Kunci Bersama

Operasi ini Set Blob Immutability Policy mendukung otorisasi Kunci Bersama. Otorisasi dengan kunci akun tidak disarankan untuk sebagian besar skenario, karena kurang aman.

Microsoft merekomendasikan untuk melarang otorisasi Kunci Bersama untuk akun penyimpanan jika memungkinkan. Untuk informasi selengkapnya, lihat Mencegah otorisasi dengan Kunci Bersama.

Keterangan

Mengatur kebijakan kekekalan blob pada penyimpanan blob atau akun v2 tujuan umum memiliki batasan berikut:

• Mengatur kebijakan imutabilitas pada rekam jepret atau versi diizinkan per REST versi 2020-06-12.
• Saat kebijakan imutabilitas dalam unlocked mode , pengguna dapat memperbarui retensi hingga tanggal. Saat kebijakan imutabilitas dalam locked mode , pengguna dapat memperpanjang retensi hingga tanggal saja. Mode kebijakan imutabilitas dapat diubah dari unlocked ke locked, tetapi tidak dari locked ke unlocked.
• Ketika ada kebijakan imutabilitas pada blob, dan ada juga kebijakan imutabilitas default pada kontainer atau akun, kebijakan kekekalan blob lebih diawali.
• Untuk kebijakan imutabilitas tingkat blob, PutBlockList/PutBlob/CopyBlob operasi diizinkan, karena operasi ini menghasilkan versi baru.
• Saat kebijakan imutabilitas dalam unlocked mode , pengguna dapat menghapus kebijakan imutabilitas dengan menggunakan API berikut:

Metode	Meminta URI	Versi HTTP
Delete	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Catatan

Untuk informasi selengkapnya, lihat Penyimpanan yang tidak dapat diubah.

Billing

Permintaan harga dapat berasal dari klien yang menggunakan API Blob Storage, baik langsung melalui Blob Storage REST API, atau dari pustaka klien Azure Storage. Permintaan ini mengumpulkan biaya per transaksi. Jenis transaksi memengaruhi cara akun ditagih. Misalnya, transaksi baca bertambah ke kategori penagihan yang berbeda dari transaksi tulis. Tabel berikut ini memperlihatkan kategori penagihan untuk Set Blob Immutability Policy permintaan berdasarkan jenis akun penyimpanan:

Operasi	Jenis akun penyimpanan	Kategori penagihan
Mengatur Kebijakan Kekekalan Blob	Objek besar biner blok premium Tujuan umum standar v2 Tujuan umum standar v1	Operasi lainnya

Untuk mempelajari tentang harga untuk kategori penagihan yang ditentukan, lihat harga Azure Blob Storage.

Lihat juga

Mengotorisasi permintaan ke Azure Storage
Status dan kode galat
Kode kesalahan Blob Storage
Mengatur waktu habis untuk operasi Blob Storage