アクセス許可の作成
操作により Create Permission
、共有レベルでアクセス許可 (セキュリティ記述子) が作成されます。 作成されたセキュリティ記述子は、共有内のファイルとディレクトリに使用できます。 この API は、バージョン 2019-02-02 以降で使用できます。
プロトコルの可用性
有効なファイル共有プロトコル | 利用可能 |
---|---|
SMB | |
NFS |
Request
次に示すように、要求を Create Permission
構築できます。 HTTPS を使用することをお勧めします。
Method | 要求 URI | HTTP バージョン |
---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
次に示すように、要求 URI に表示されるパス コンポーネントを独自のコンポーネントに置き換えます。
パス コンポーネント | 説明 |
---|---|
myaccount |
ご利用のストレージ アカウントの名前。 |
myshare |
ファイル共有の名前。 名前には小文字のみを含めることができます。 |
パスの名前付けの制限については、「 名前と参照共有、ディレクトリ、ファイル、およびメタデータ」を参照してください。
URI パラメーター
次に示すように、要求 URI に追加のパラメーターを指定できます。
パラメーター | 説明 |
---|---|
timeout |
省略可能。 timeout パラメーターは、秒単位で表されます。 詳細については、「 キュー サービス操作のタイムアウトを設定する」を参照してください。 |
要求ヘッダー
必須の要求ヘッダーと省略可能な要求ヘッダーを次の表に示します。
要求ヘッダー | 説明 |
---|---|
Authorization |
必須。 承認スキーム、ストレージ アカウント名、署名を指定します。 詳細については、「Azure Storage への要求を承認する」をご覧ください。 |
Date または x-ms-date |
必須。 要求に対して協定世界時 (UTC) を指定します。 詳細については、「Azure Storage への要求を承認する」をご覧ください。 |
x-ms-version |
省略可能。 この要求に使用する操作のバージョンを指定します。 詳細については、「 Azure Storage サービスのバージョン管理」を参照してください。 |
x-ms-client-request-id |
省略可能。 ログ記録の構成時にログに記録される 1 kibibyte (KiB) 文字制限を使用して、クライアントによって生成された不透明な値を提供します。 このヘッダーを使用して、クライアント側のアクティビティとサーバーが受信する要求を関連付けるよう強くお勧めします。 詳細については、「Azure Filesの監視」を参照してください。 |
x-ms-file-request-intent |
ヘッダーが OAuth トークンを指定する場合 Authorization は必須。 許容される値は です backup 。 このヘッダーは、 ヘッダーをMicrosoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action 使用してAuthorization 承認された ID に割り当てられた RBAC ポリシーに 含まれている場合に、 または Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action を許可するように指定します。 バージョン 2022-11-02 以降で使用できます。 |
要求本文
セキュリティ記述子は、要求本文を使用して作成します。これは、 セキュリティ記述子定義言語 (SDDL) のアクセス許可を記述する JSON ドキュメントです。 SDDL には、所有者、グループ、随 意アクセス制御リスト (DACL) が必要です。 セキュリティ記述子の指定された SDDL 文字列形式には、ドメインの相対識別子 (DU、DA、DD など) を含めることはできません。
{
"Permission": "SDDL"
}
要求のサンプル
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Response
応答には、HTTP 状態コードおよび一連の応答ヘッダーが含まれています。
status code
操作が正常に終了すると、状態コード 201 (Created) が返されます。
状態コードの詳細については、「 状態とエラー コード」を参照してください。
応答ヘッダー
この操作の応答には、次のヘッダーが含まれています。 応答には、追加の標準 HTTP ヘッダーも含まれる場合があります。 すべての標準ヘッダーは 、HTTP/1.1 プロトコル仕様に準拠しています。
応答ヘッダー | 説明 |
---|---|
x-ms-request-id |
行われた要求を一意に識別し、それを使用して要求のトラブルシューティングを行うことができます。 |
x-ms-version |
要求の実行に使用されたAzure Filesバージョンを示します。 |
Date または x-ms-date |
サービスによって生成され、応答が開始された時刻を示す UTC 日付/時刻値。 |
x-ms-file-permission-key |
作成されたアクセス許可のキー。 |
x-ms-client-request-id |
要求とそれに対応する応答のトラブルシューティングに使用できます。 このヘッダーの値は、要求に存在し、その値に 1,024 文字以下の ASCII 文字が含まれている場合、ヘッダーの値 x-ms-client-request-id と同じです。 ヘッダーが x-ms-client-request-id 要求に存在しない場合は、応答に存在しません。 |
応答本文
[なし] :
承認
書き込みおよび削除の承認を持つ共有レベルの共有アクセス署名を持つアカウント所有者または呼び出し元のみが、この操作を呼び出すことができます。
解説
ドメインとドメインに参加していないマシン間で SDDL 形式を移植できるように、呼び出し元は ConvertSecurityDescriptorToStringSecurityDescriptor() Windows 関数を使用して、セキュリティ記述子のベース SDDL 文字列を取得できます。 呼び出し元は、次の表に示す SDDL 表記を正しい SID 値に置き換えることができます。
名前 | SDDL 表記 | SID 値 | 説明 |
---|---|---|---|
ローカル管理者 | LA | S-1-5-21domain-500 | システム管理者のユーザー アカウント。 既定では、システムを完全に制御できる唯一のユーザー アカウントです。 |
ローカル ゲスト | LG | S-1-5-21domain-501 | 個別のアカウントがないユーザーのユーザー アカウント。 このユーザー アカウントにはパスワードは必要ありません。 既定では、ゲスト アカウントは無効になっています。 |
証明書の発行元 | CA | S-1-5-21domain-517 | エンタープライズ証明機関を実行しているすべてのコンピューターを含むグローバル グループ。 証明書パブリッシャーは、Active Directory の User オブジェクトの証明書を発行する権限を持ちます。 |
Domain Admins | DA | S-1-5-21domain-512 | ドメインを管理する権限を持つメンバーを持つグローバル グループ。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。 Domain Admins は、グループの任意のメンバーによって作成されたすべてのオブジェクトの既定の所有者です。 |
ドメイン コントローラー | DD | S-1-5-21domain-516 | ドメイン内のすべてのドメイン コントローラーを含むグローバル グループ。 既定では、新しいドメイン コントローラーがこのグループに追加されます。 |
Domain Users | DU | S-1-5-21domain-513 | 既定では、ドメイン内のすべてのユーザー アカウントを含むグローバル グループ。 ドメインにユーザー アカウントを作成すると、既定でアカウントがこのグループに追加されます。 |
Domain Guests | DG | S-1-5-21domain-514 | 既定では、ドメインの組み込みゲスト アカウントのメンバーが 1 つだけ存在するグローバル グループ。 |
Domain Computers | DC | S-1-5-21domain-515 | ドメインに参加しているすべてのクライアントとサーバーを含むグローバル グループ。 |
Schema Admins | SA | S-1-5-21root domain-518 | ネイティブ モード ドメインのユニバーサル グループ。混合モード ドメイン内のグローバル グループ。 このグループには、Active Directory でスキーマを変更する権限があります。 既定では、フォレスト ルート ドメインの Administrator アカウントだけが、このグループのメンバーです。 |
Enterprise Admins | EA | S-1-5-21root domain-519 | ネイティブ モード ドメインのユニバーサル グループ。混合モード ドメイン内のグローバル グループ。 グループは、子ドメインの追加など、Active Directory でフォレスト全体の変更を行うことが許可されています。 既定では、フォレスト ルート ドメインの Administrator アカウントだけが、このグループのメンバーです。 |
Group Policy Creator Owners | PA | S-1-5-21domain-520 | Active Directory で新しいグループ ポリシー オブジェクトを作成する権限を持つグローバル グループ。 |
RAS and IAS Servers | RS | S-1-5-21domain-553 | ドメイン ローカル グループ。 既定では、このグループにはメンバーはありません。 このグループのリモート アクセス サーバー (RAS) およびインターネット認証サービス (IAS) サーバーには、Active Directory ドメイン ローカル グループ内の User オブジェクトに対する [アカウントの制限の読み取り] および [ログオン情報の読み取り] アクセス権があります。 |
Enterprise Read-only Domain Controllers | ED | S-1-5-21domain-498 | ユニバーサル グループ。 このグループのメンバーは、エンタープライズの読み取り専用ドメイン コントローラーです。 |
Read-Only Domain Controllers | RO | S-1-5-21domain-521 | グローバル グループ。 このグループのメンバーは、ドメイン内の読み取り専用ドメイン コントローラーです。 |