Append Blob Seal

Lo scopo dell'operazione Append Blob Seal è consentire agli utenti e alle applicazioni di bloccare i BLOB di accodamento, contrassegnandoli come di sola lettura. Questo documento descrive le specifiche dell'API REST proposte per questa funzionalità.

Richiesta

È possibile costruire la Append Blob Seal richiesta come indicato di seguito. È consigliato il protocollo HTTPS. Sostituire myaccount con il nome del proprio account di archiviazione.

URI della richiesta del metodo PUT	Versione HTTP
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

Intestazioni

Append Blob Sealrestituisce intestazioni API comuni, ETag/LMT (ora dell'ultima modifica), x-ms-request-id, , x-ms-versioncontent-lengthe Date. Append Blob Seal non modifica l'oggetto ETag/LMT.

Intestazione della risposta	Valore	Descrizione
x-ms-blob-sealed	true/false	facoltativo. False per impostazione predefinita. Se il BLOB è sealed, questa intestazione viene inclusa nella risposta quando si chiude e si ottengono le proprietà di un BLOB. Questa intestazione deve essere visualizzata in GetBlob, GetBlobProperties, AppendBlobSeale ListBlobs per i BLOB di accodamento.

Parametri di query

Nessun parametro URI aggiuntivo.

Testo della richiesta

Nessuno.

Risposta

La risposta include un codice di stato HTTP e un elenco di intestazioni di risposta.

Codice stato

È possibile ricevere uno dei codici di stato seguenti:

• 200 (Operazione riuscita): il BLOB è sealed. La chiamata è idempotente e avrà esito positivo se il BLOB è già sealed.

• 409 (InvalidBlobType): il servizio restituisce questo codice di stato se la chiamata si trova in un BLOB di pagine o blob in blocchi esistente.

• 404 (BlobNotFound): il servizio restituisce questo codice di stato se la chiamata si trova in un BLOB inesistente.

Autorizzazione

L'autorizzazione è necessaria quando si chiama un'operazione di accesso ai dati in Archiviazione di Azure. È possibile autorizzare l'operazione Append Blob Seal come descritto di seguito.

Importante

Microsoft consiglia di usare Microsoft Entra ID con identità gestite per autorizzare le richieste ad Archiviazione di Azure. Microsoft Entra ID offre maggiore sicurezza e facilità d'uso rispetto all'autorizzazione con chiave condivisa.

Microsoft Entra ID (scelta consigliata)

Archiviazione di Azure supporta l'uso di Microsoft Entra ID per autorizzare le richieste ai dati BLOB. Con Microsoft Entra ID è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere le autorizzazioni a un'entità di sicurezza. L'entità di sicurezza può essere un utente, un gruppo, un'entità servizio applicazione o un'identità gestita di Azure. L'entità di sicurezza viene autenticata da Microsoft Entra ID per restituire un token OAuth 2.0. Il token può quindi essere usato per autorizzare una richiesta relativa al servizio BLOB.

Per altre informazioni sull'autorizzazione tramite Microsoft Entra ID, vedere Autorizzare l'accesso ai BLOB usando Microsoft Entra ID.

Autorizzazioni

Di seguito è riportata l'azione di controllo degli accessi in base al ruolo necessaria per un Microsoft Entra utente, un gruppo, un gruppo, un'identità gestita o un'entità servizio per chiamare l'operazione Append Blob Seal e il ruolo controllo degli accessi in base al ruolo di Azure con privilegi minimi che include questa azione:

• Azione controllo degli accessi in base al ruolo di Azure:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Ruolo predefinito con privilegi minimi:Collaboratore ai dati dei BLOB di archiviazione

Per altre informazioni sull'assegnazione dei ruoli tramite il controllo degli accessi in base al ruolo di Azure, vedere Assegnare un ruolo di Azure per l'accesso ai dati BLOB.

Firme di accesso condiviso (SAS)

Una firma di accesso condiviso fornisce accesso delegato sicuro alle risorse in un account di archiviazione. Con una firma di accesso condiviso è possibile controllare in modo granulare il modo in cui un client può accedere ai dati. È possibile specificare la risorsa a cui il client può accedere, le autorizzazioni necessarie per tali risorse e il periodo di validità della firma di accesso condiviso.

L'operazione Append Blob Seal supporta tre tipi di firme di accesso condiviso: firma di accesso condiviso delega utente, firma di accesso condiviso del servizio e firma di accesso condiviso dell'account.

Come procedura consigliata per la sicurezza, è consigliabile usare le credenziali Microsoft Entra anziché la chiave dell'account di archiviazione, che può essere compromessa più facilmente. Se la progettazione dell'applicazione richiede firme di accesso condiviso, usare Microsoft Entra credenziali per creare una firma di accesso condiviso della delega utente, quando possibile.

Quando l'accesso con chiave condivisa non è consentito per l'account di archiviazione, non sarà consentito un token di firma di accesso condiviso del servizio o un token di firma di accesso condiviso dell'account in una richiesta di archiviazione BLOB. Per altre informazioni, vedere Informazioni su come impedire la chiave condivisa influisce sui token di firma di accesso condiviso.

Firma di accesso condiviso di delega utente

Una firma di accesso condiviso della delega utente è protetta con credenziali Microsoft Entra e anche dalle autorizzazioni specificate per la firma di accesso condiviso.

Per chiamare l'operazione Append Blob Seal usando un token di firma di accesso condiviso delegato a un contenitore o a una risorsa BLOB, è necessaria l'autorizzazione Scrittura (w) come parte del token di firma di accesso condiviso della delega utente.

Per altre informazioni sulla firma di accesso condiviso della delega utente, vedere Create una firma di accesso condiviso della delega utente.

Firma di accesso condiviso del servizio

Una firma di accesso condiviso del servizio è protetta con la chiave dell'account di archiviazione. Una firma di accesso condiviso del servizio delega l'accesso a una risorsa in un singolo servizio di archiviazione di Azure, ad esempio l'archiviazione BLOB.

Per chiamare l'operazione Append Blob Seal usando un token di firma di accesso condiviso delegato a un contenitore o a una risorsa BLOB, è necessaria l'autorizzazione Scrittura (w) come parte del token di firma di accesso condiviso del servizio.

Per altre informazioni sulla firma di accesso condiviso del servizio, vedere Create una firma di accesso condiviso del servizio.

Firma di accesso condiviso dell'account

Una firma di accesso condiviso dell'account è protetta con la chiave dell'account di archiviazione. Una firma di accesso condiviso dell'account delega l'accesso alle risorse in uno o più servizi di archiviazione. Tutte le operazioni disponibili tramite una firma di accesso condiviso del servizio o di delega utente sono disponibili anche tramite una firma di accesso condiviso dell'account.

La tabella seguente indica il tipo di risorsa firmata e le autorizzazioni firmate per specificare quando si delega l'accesso:

Operazione	Servizio firmato	Tipo di risorsa firmato	Autorizzazione firmata
Append Blob Seal	BLOB (b)	Oggetto (o)	Scrittura (w)

Per altre informazioni sulla firma di accesso condiviso dell'account, vedere Create una firma di accesso condiviso dell'account.

Chiave condivisa

L'operazione Append Blob Seal supporta l'autorizzazione con chiave condivisa. L'autorizzazione con le chiavi dell'account non è consigliata per la maggior parte degli scenari, perché è meno sicura.

Microsoft consiglia di non consentire l'autorizzazione di chiave condivisa per l'account di archiviazione quando possibile. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa.

Commenti

Se un BLOB di accodamento ha un lease, è necessario un ID lease per bloccare il BLOB.

Dopo aver bloccato un BLOB, è comunque possibile aggiornare le proprietà, i tag di indice BLOB e i metadati. L'eliminazione temporanea di un BLOB sealed mantiene lo stato sealed. È possibile sovrascrivere i BLOB sealed.  

Se si crea uno snapshot di un BLOB sealed, lo snapshot include il flag sealed. Per gli snapshot esistenti nella nuova versione, Microsoft restituisce la proprietà .

Quando si copia un BLOB sealed, il flag sealed viene propagato per impostazione predefinita. Viene esposta un'intestazione che consente di sovrascrivere il flag.

Alla risposta verrà aggiunto ListBlob un nuovo elemento XML denominato Sealed. Il valore può essere true o false.

Se si chiama AppendBlock su un BLOB già bloccato, il servizio restituisce il messaggio di errore visualizzato nella tabella seguente. Ciò si applica alle versioni precedenti dell'API.

Codice di errore	Codice di stato HTTP	Messaggio utente
BLOBIsSealed	Conflitto (409)	Il BLOB specificato è bloccato e il relativo contenuto non può essere modificato a meno che il BLOB non venga ricreato dopo un'eliminazione.

Se si chiama Append Blob Seal su un BLOB di accodamento già bloccato, viene visualizzato semplicemente un codice di stato 200 (Success).

Fatturazione

Le richieste di prezzi possono derivare dai client che usano le API di archiviazione BLOB, direttamente tramite l'API REST dell'archiviazione BLOB o da una libreria client di Archiviazione di Azure. Queste richieste accumulano addebiti per transazione. Il tipo di transazione influisce sul modo in cui viene addebitato l'account. Ad esempio, le transazioni di lettura si accumulano in una categoria di fatturazione diversa rispetto alle transazioni di scrittura. Nella tabella seguente viene illustrata la categoria di fatturazione per Append Blob Seal le richieste in base al tipo di account di archiviazione:

Operazione	Tipo di account di archiviazione	Categoria di fatturazione
Append Blob Seal	BLOB di blocchi Premium Utilizzo generico v2 Standard Utilizzo generico standard v1	Operazioni di scrittura

Per informazioni sui prezzi per la categoria di fatturazione specificata, vedere prezzi Archiviazione BLOB di Azure.

Vedi anche

Archiviazione BLOB di Azure codici di errore