BLOB 訴訟ホールドの設定

この操作により Set Blob Legal Hold 、BLOB の訴訟ホールドが設定されます。 この操作では、BLOB の ETag は更新されません。 この API は、バージョン 2020-04-08 以降で使用できます。

要求

Set Blob Legal Hold 要求の構成は次のとおりです。 HTTPS を使用することをお勧めします。 myaccount はストレージ アカウントの名前に、myblob は訴訟ホールドを変更する BLOB 名に置き換えます。

Method	要求 URI	HTTP バージョン
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=legalhold	HTTP/1.1

URI パラメーター

次の追加パラメーターを要求 URI に指定できます。

パラメーター	説明
snapshot	省略可能。 スナップショット パラメーターは不透明DateTimeな値であり、存在する場合は、層を設定する BLOB スナップショットを指定します。 BLOB スナップショットの操作の詳細については、「BLOB のスナップショットをCreateする」を参照してください。
versionid	バージョン 2019-12-12 以降では省略可能です。 パラメーターは versionid 不透明 DateTime な値であり、存在する場合は、階層を設定する BLOB のバージョンを指定します。
timeout	省略可能。 timeout パラメーターは、秒単位で表されます。 詳細については、「 Blob Storage 操作のタイムアウトを設定する」を参照してください。

要求ヘッダー

必須の要求ヘッダーと省略可能な要求ヘッダーを次の表に示します。

要求ヘッダー	説明
Authorization	必須。 承認スキーム、ストレージ アカウント名、および署名を指定します。 詳細については、「Azure Storage への要求を承認する」をご覧ください。
Date または x-ms-date	必須。 要求に対して協定世界時 (UTC) を指定します。 詳細については、「Azure Storage への要求を承認する」をご覧ください。
x-ms-legal-hold	省略可能。 BLOB の訴訟ホールドを設定または削除します。 Blob Storage または汎用 v2 アカウントの場合、有効な値は と falseですtrue。
x-ms-version	すべての承認された要求に必要です。 この要求に使用する操作のバージョンを指定します。 詳細については、「Azure Storage サービスのバージョン管理」を参照してください。
x-ms-client-request-id	省略可能。 ログ記録の構成時にログに記録される 1 kibibyte (KiB) 文字制限を使用して、クライアントによって生成された不透明な値を提供します。 このヘッダーを使用して、クライアント側のアクティビティとサーバーが受信する要求を関連付けるよう強くお勧めします。 詳細については、「Azure Blob Storageの監視」を参照してください。

要求本文

[なし] :

Response

応答には、HTTP 状態コードおよび一連の応答ヘッダーが含まれています。

status code

操作に成功すると、状態コード 200 (OK) が返されます。

状態コードの詳細については、「 状態とエラー コード」を参照してください。

応答ヘッダー

この操作の応答には、以下のヘッダーが含まれています。 応答に追加の標準 HTTP ヘッダーが含まれる場合もあります。 すべての標準ヘッダーは 、HTTP/1.1 プロトコル仕様に準拠しています。

応答ヘッダー	説明
x-ms-request-id	作成された要求を一意に識別し、要求のトラブルシューティングに使用できます。
詳細については、「 API 操作のトラブルシューティング」を参照してください。
x-ms-version	要求の実行に使用された Blob Storage バージョン。 このヘッダーはバージョン 2009-09-19 以降で行った要求に対して返されます。
x-ms-client-request-id	要求と対応する応答のトラブルシューティングに使用できます。 このヘッダーの値は、要求に存在し、その値に 1,024 文字以下の ASCII 文字が含まれている場合、ヘッダーの値 x-ms-client-request-id と等しくなります。 ヘッダーが x-ms-client-request-id 要求に存在しない場合、応答には存在しません。
x-ms-legal-hold	BLOB に設定されている訴訟ホールドを示します。 有効値は true または false です。

承認

Azure Storage でデータ アクセス操作を呼び出す場合は、承認が必要です。 以下で説明するように、操作を Set Blob Legal Hold 承認できます。

重要

Microsoft では、マネージド ID でMicrosoft Entra IDを使用して、Azure Storage への要求を承認することをお勧めします。 Microsoft Entra IDは、共有キーの承認と比較して優れたセキュリティと使いやすさを提供します。

Microsoft Entra ID (推奨)

Azure Storage では、Microsoft Entra IDを使用して BLOB データへの要求を承認することがサポートされています。 Microsoft Entra IDでは、Azure ロールベースのアクセス制御 (Azure RBAC) を使用して、セキュリティ プリンシパルにアクセス許可を付与できます。 セキュリティ プリンシパルには、ユーザー、グループ、アプリケーション サービス プリンシパル、または Azure マネージド ID を指定できます。 セキュリティ プリンシパルは、OAuth 2.0 トークンを返すためにMicrosoft Entra IDによって認証されます。 その後、そのトークンを、Blob service に対する要求を認可するために使用できます。

Microsoft Entra IDを使用した承認の詳細については、「Microsoft Entra IDを使用して BLOB へのアクセスを承認する」を参照してください。

アクセス許可

Microsoft Entraユーザー、グループ、マネージド ID、またはサービス プリンシパルが操作を呼び出Set Blob Legal Holdすために必要な RBAC アクションと、このアクションを含む最小特権の組み込み Azure RBAC ロールを次に示します。

• Azure RBAC アクション:Microsoft.Storage/storageAccounts/blobServices/containers/write
• 最小特権の組み込みロール:ストレージ BLOB データ共同作成者

Azure RBAC を使用したロールの割り当ての詳細については、「 BLOB データにアクセスするための Azure ロールの割り当て」を参照してください。

共有アクセス署名 (SAS)

Shared Access Signature (SAS) は、ストレージ アカウント内のリソースへのセキュリティで保護された委任されたアクセスを提供します。 SAS を使用すると、クライアントがデータにアクセスする方法をきめ細かく制御できます。 クライアントがアクセスできるリソース、それらのリソースに対するアクセス許可、および SAS が有効な期間を指定できます。

この操作では Set Blob Legal Hold 、 ユーザー委任 SAS、 サービス SAS、 アカウント SAS の 3 種類の共有アクセス署名がサポートされています。

セキュリティのベスト プラクティスとして、ストレージ アカウント キーではなくMicrosoft Entra資格情報を使用することをお勧めします。これは、より簡単に侵害される可能性があります。 アプリケーション設計で共有アクセス署名が必要な場合は、可能であれば、Microsoft Entra資格情報を使用してユーザー委任 SAS を作成します。

ストレージ アカウントに対して共有キー アクセスが許可されていない場合、サービス SAS トークンまたはアカウント SAS トークンは、Blob Storage への要求では許可されません。 詳細については、「 共有キーの禁止が SAS トークンにどのように影響するかを理解する」を参照してください。

ユーザー委任 SAS

ユーザー委任 SAS は、Microsoft Entra資格情報と、SAS に対して指定されたアクセス許可によっても保護されます。

Set Blob Legal Holdコンテナーまたは BLOB リソースに委任された SAS トークンを使用して操作を呼び出すには、ユーザー委任 SAS トークンの一部として不変ストレージ (i) アクセス許可が必要です。

ユーザー委任 SAS の詳細については、「ユーザー委任 SAS のCreate」を参照してください。

サービス SAS

サービス SAS は、ストレージ アカウント キーで保護されます。 サービス SAS は、BLOB ストレージなどの単一の Azure Storage サービス内のリソースへのアクセスを委任します。

Set Blob Legal Holdコンテナーまたは BLOB リソースに委任された SAS トークンを使用して操作を呼び出すには、サービス SAS トークンの一部として不変ストレージ (i) アクセス許可が必要です。

サービス SAS の詳細については、「サービス SAS のCreate」を参照してください。

アカウント SAS

アカウント SAS は、ストレージアカウント キーで保護されます。 アカウント SAS は、1 つ以上のストレージ サービスのリソースへのアクセスを委任します。 サービスまたはユーザー委任 SAS を介して実行できるすべての操作は、アカウント SAS を介しても実行できます。

次の表は、アクセスを委任するときに指定する署名付きリソースの種類と署名付きアクセス許可を示しています。

操作	署名済みサービス	署名されたリソースの種類	署名されたアクセス許可
BLOB 訴訟ホールドの設定	BLOB (b)	オブジェクト (o)	不変ストレージ (i)

アカウント SAS の詳細については、「アカウント SAS のCreate」を参照してください。

共有キー

この操作では Set Blob Legal Hold 、 共有キーの承認がサポートされています。 アカウント キーを使用した承認は、セキュリティが低く、ほとんどのシナリオでは推奨されません。

可能な場合は、ストレージ アカウントの共有キーの承認を禁止することをお勧めします。 詳細については、「共有キーによる承認の防止」を参照してください。

注釈

BLOB ストレージまたは汎用 v2 アカウントに BLOB の訴訟ホールドを設定する場合、次の制限があります。

• rest バージョン 2020-06-12 では、スナップショットまたはバージョンに対して訴訟ホールドを設定できます。
• 訴訟ホールドが に true設定されている場合、ユーザーは、一部の特別な操作である を除き、 PutBlockList/PutBlob/CopyBlobBLOB を変更または削除できません。これらの操作では新しいバージョンが生成されるためです。

注意

不変ストレージの詳細については、「 不変ストレージ」を参照してください。

請求

価格要求は、Blob Storage REST API を介して直接、または Azure Storage クライアント ライブラリから Blob Storage API を使用するクライアントから送信できます。 これらの要求では、トランザクションあたりの料金が発生します。 トランザクションの種類は、アカウントの課金方法に影響します。 たとえば、読み取りトランザクションは、書き込みトランザクションとは異なる課金カテゴリに計上されます。 次の表は、ストレージ アカウントの種類に基づく要求の課金カテゴリ Set Blob Legal Hold を示しています。

操作	ストレージ アカウントの種類	課金カテゴリ
BLOB 訴訟ホールドの設定	Premium ブロック BLOB Standard 汎用 v2 Standard 汎用 v1	その他の操作

指定した課金カテゴリの価格については、「Azure Blob Storage価格」を参照してください。

こちらもご覧ください

Azure Storage への要求を承認する
状態コードとエラー コード
Blob Storage のエラー コード
Blob Storage 操作のタイムアウトを設定する