Compartilhar via

Criar Permissão

  • Artigo

A operação Create Permission cria uma permissão (um descritor de segurança) no nível do compartilhamento. Você pode usar o descritor de segurança criado para os arquivos e diretórios no compartilhamento. Essa API está disponível a partir da versão 2019-02-02.

Disponibilidade do protocolo

Protocolo de compartilhamento de arquivos habilitado Disponível
SMB Sim
NFS Sem

Pedir

Você pode construir a solicitação Create Permission, conforme mostrado aqui. Recomendamos que você use HTTPS.

Método URI de solicitação Versão HTTP
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Substitua os componentes de caminho mostrados no URI da solicitação por seus próprios componentes, conforme mostrado aqui:

Componente path Descrição
myaccount O nome da sua conta de armazenamento.
myshare O nome do compartilhamento de arquivos. O nome pode conter apenas caracteres minúsculos.

Para obter informações sobre restrições de nomenclatura de caminho, consulte Nome e compartilhamentos de referência, diretórios, arquivos e metadados.

Parâmetros de URI

Você pode especificar parâmetros adicionais no URI da solicitação, conforme mostrado aqui:

Parâmetro Descrição
timeout Opcional. O parâmetro timeout é expresso em segundos. Para obter mais informações, consulte Definir tempos limite para operações de serviço fila.

Cabeçalhos de solicitação

Os cabeçalhos de solicitação obrigatórios e opcionais são descritos na tabela a seguir:

Cabeçalho de solicitação Descrição
Authorization Necessário. Especifica o esquema de autorização, o nome da conta de armazenamento e a assinatura. Para obter mais informações, consulte Autorizar solicitações para o Armazenamento do Azure.
Date ou x-ms-date Necessário. Especifica o UTC (Tempo Universal Coordenado) para a solicitação. Para obter mais informações, consulte Autorizar solicitações para o Armazenamento do Azure.
x-ms-version Opcional. Especifica a versão da operação a ser usada para essa solicitação. Para obter mais informações, consulte controle de versão dos serviços de Armazenamento do Azure.
x-ms-client-request-id Opcional. Fornece um valor opaco gerado pelo cliente com um limite de caracteres kib (1 kibibyte) que é registrado nos logs quando o registro em log é configurado. É altamente recomendável que você use esse cabeçalho para correlacionar atividades do lado do cliente com solicitações recebidas pelo servidor. Para obter mais informações, consulte Monitorar arquivos do Azure.
x-ms-file-request-intent Necessário se Authorization cabeçalho especificar um token OAuth. O valor aceitável é backup. Esse cabeçalho especifica que os Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action ou Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action devem ser concedidos se forem incluídos na política RBAC atribuída à identidade autorizada usando o cabeçalho Authorization. Disponível para a versão 2022-11-02 e posterior.

Corpo da solicitação

Crie um descritor de segurança colocando um objeto JSON no corpo da solicitação. O objeto JSON pode ter os seguintes campos:

Chave JSON Descrição
permission Necessário. Permissão no SDDL (Linguagem de Definição do Descritor de Segurança) ou (versão 2024-11-04 ou posterior) no formato de descritor de segurança binária codificado em base64. O descritor de segurança deve ter um proprietário, um grupo e da DACL (lista de controle de acesso discricionário).
format Opcional. Versão 2024-11-04 ou posterior. Descreve o formato da permissão fornecida em permission. Se definido, esse campo deve ser definido como "sddl" ou "binary". Se omitido, o padrão de "sddl" será usado.

Se estiver usando o SDDL, o formato de cadeia de caracteres SDDL do descritor de segurança não deverá ter um identificador relativo de domínio (por exemplo, DU, DA ou DD) nele.

{
    "permission": "<SDDL>"
}

Na versão 2024-11-04 ou posterior, você pode especificar explicitamente que a permissão está no formato SDDL:

{
    "format": "sddl",
    "permission": "<SDDL>"
}

Na versão 2024-11-04 ou posterior, você também pode criar uma permissão no formato binário codificado em base 64. Nesse caso, você deve especificar explicitamente que o formato é "binary".

{
    "format": "binary",
    "permission": "<base64>"
}

Solicitação de exemplo

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Resposta

A resposta inclui um código de status HTTP e um conjunto de cabeçalhos de resposta.

Código de status

Uma operação bem-sucedida retorna o código de status 201 (Criado).

Para obter informações sobre códigos de status, consulte Status e códigos de erro.

Cabeçalhos de resposta

A resposta dessa operação inclui os cabeçalhos a seguir. A resposta também pode incluir cabeçalhos HTTP padrão adicionais. Todos os cabeçalhos padrão estão em conformidade com a especificação de protocolo HTTP/1.1 .

Cabeçalho de resposta Descrição
x-ms-request-id Identifica exclusivamente a solicitação que foi feita e você pode usá-la para solucionar problemas da solicitação.
x-ms-version Indica a versão dos Arquivos do Azure que foi usada para executar a solicitação.
Date ou x-ms-date Um valor de data/hora UTC gerado pelo serviço e que indica a hora em que a resposta foi iniciada.
x-ms-file-permission-key A chave da permissão criada.
x-ms-client-request-id Pode ser usado para solucionar problemas de solicitações e suas respostas correspondentes. O valor desse cabeçalho é igual ao valor do cabeçalho x-ms-client-request-id se ele estiver presente na solicitação e o valor não contiver mais de 1.024 caracteres ASCII visíveis. Se o cabeçalho x-ms-client-request-id não estiver presente na solicitação, ele não estará presente na resposta.

Corpo da resposta

Nenhum.

Autorização

Somente o proprietário da conta ou um chamador que tem uma assinatura de acesso compartilhado no nível de compartilhamento com autorização de gravação e exclusão pode chamar essa operação.

Observações

Para tornar o formato SDDL portátil entre computadores ingressados em domínio e não domínio, o chamador pode usar a função ConvertSecurityDescriptorToStringSecurityDescriptor Windows para obter a cadeia de caracteres SDDL base para o descritor de segurança. Em seguida, o chamador pode substituir a notação SDDL listada na tabela a seguir pelo valor de SID correto.

Nome Notação SDDL Valor de SID Descrição
Administrador Local LA S-1-5-21-domain-500 Uma conta de usuário para o administrador do sistema. Por padrão, é a única conta de usuário que recebe controle total sobre o sistema.
Convidados locais LG S-1-5-21-domain-501 Uma conta de usuário para pessoas que não têm contas individuais. Essa conta de usuário não requer uma senha. Por padrão, a conta convidado está desabilitada.
Editores de Certificados CA S-1-5-21-domain-517 Um grupo global que inclui todos os computadores que estão executando uma autoridade de certificação corporativa. Os Editores de Certificados estão autorizados a publicar certificados para objetos de usuário no Active Directory.
Administradores de Domínio DA S-1-5-21-domain-512 Um grupo global cujos membros estão autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é membro do grupo Administradores em todos os computadores que ingressaram em um domínio, incluindo os Controladores de Domínio. Os Administradores de Domínio são o proprietário padrão de qualquer objeto criado por qualquer membro do grupo.
Controladores de Domínio DD S-1-5-21-domain-516 Um grupo global que inclui todos os Controladores de Domínio no domínio. Os novos controladores de domínio são adicionados a esse grupo por padrão.
Usuários de Domínio DU S-1-5-21-domain-513 Um grupo global que, por padrão, inclui todas as contas de usuário em um domínio. Quando você cria uma conta de usuário em um domínio, a conta é adicionada a esse grupo por padrão.
Convidados do Domínio DG S-1-5-21-domain-514 Um grupo global que, por padrão, tem apenas um membro, a conta de convidado interna do domínio.
Computadores de domínio DC S-1-5-21-domain-515 Um grupo global que inclui todos os clientes e servidores que ingressaram no domínio.
Administradores de esquema SA Domínio S-1-5-21root-518 Um grupo universal em um domínio de modo nativo; um grupo global em um domínio de modo misto. O grupo está autorizado a fazer alterações de esquema no Active Directory. Por padrão, o único membro do grupo é a conta administrador do domínio raiz da floresta.
Administradores corporativos EA Domínio S-1-5-21root-519 Um grupo universal em um domínio de modo nativo; um grupo global em um domínio de modo misto. O grupo está autorizado a fazer alterações em toda a floresta no Active Directory, como a adição de domínios filho. Por padrão, o único membro do grupo é a conta administrador do domínio raiz da floresta.
Proprietários do Criador de Política de Grupo PAPAI S-1-5-21-domain-520 Um grupo global autorizado a criar novos objetos de Política de Grupo no Active Directory.
Servidores RAS e IAS RS S-1-5-21-domain-553 Um grupo local de domínio. Por padrão, esse grupo não tem membros. Os servidores RAS (Servidor de Acesso Remoto) e IAS (Serviço de Autenticação da Internet) neste grupo têm restrições de conta de leitura e acesso de informações de logon de leitura a objetos de usuário no grupo local de domínio do Active Directory.
Controladores de domínio somente leitura da empresa ED S-1-5-21-domain-498 Um grupo universal. Os membros desse grupo são controladores de domínio somente leitura na empresa.
Controladores de domínio somente leitura RO S-1-5-21-domain-521 Um grupo global. Os membros desse grupo são controladores de domínio somente leitura no domínio.