Настройка политики неизменяемости BLOB-объектов

Статья
02/07/2024

Операция Set Blob Immutability Policy задает политику неизменяемости для большого двоичного объекта. Эта операция не обновляет ETag BLOB-объекта. Этот API доступен с версии 2020-06-12.

Запрос

Запрос Set Blob Immutability Policy можно составить следующим образом. Рекомендуется использовать ПРОТОКОЛ HTTPS. Замените myaccount именем учетной записи хранения, а myblob — именем большого двоичного объекта, для которого необходимо изменить политику неизменности.

Метод	Универсальный код ресурса (URI) запроса	параметр "Версия HTTP"
`PUT`	`https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies`	HTTP/1.1

Параметры универсального кода ресурса (URI)

В запросе URI можно указать следующие дополнительные параметры.

Параметр	Описание
`snapshot`	Необязательный элемент. Параметр snapshot является непрозрачным `DateTime` значением, которое при его наличии указывает snapshot большого двоичного объекта для установки уровня. Дополнительные сведения о работе с моментальными снимками BLOB-объектов см. в разделе Создание snapshot BLOB-объекта.
`versionid`	Необязательно для версии 2019-12-12 и более поздних версий. Параметр `versionid` является непрозрачным `DateTime` значением, которое при его наличии указывает версию большого двоичного объекта для установки уровня.
`timeout`	Необязательный элемент. Параметр `timeout` указывается в секундах. Дополнительные сведения см. в разделе Настройка времени ожидания для операций с хранилищем BLOB-объектов.

Заголовки запросов

Обязательные и необязательные заголовки запросов описаны в следующей таблице:

Заголовок запроса	Описание
`Authorization`	Обязательный. Указывает схему авторизации, имя учетной записи хранения и подпись. Дополнительные сведения см. в статье Авторизация запросов к Службе хранилища Azure.
`Date` или `x-ms-date`	Обязательный. Задает время запроса в формате UTC. Дополнительные сведения см. в статье Авторизация запросов к Службе хранилища Azure.
`x-ms-immutability-policy-until-date`	Обязательный. Указывает срок хранения до даты, установленной для большого двоичного объекта. Это дата, до которой blob-объект можно защитить от изменения или удаления. Для хранилища BLOB-объектов или учетной записи общего назначения версии 2 допустимые значения имеют формат RFC1123. Прошлые времена недопустимы.
`x-ms-immutability-policy-mode`	Необязательный элемент. Если значение не указано, значение по умолчанию — `Unlocked`. Указывает режим политики неизменности для большого двоичного объекта. Для хранилища BLOB-объектов или учетной записи общего назначения версии 2 допустимые значения: `Unlocked`/`Locked`. `unlocked` указывает, что пользователь может изменить политику, увеличив или уменьшив срок хранения до даты. `locked` указывает, что эти действия запрещены.
`x-ms-version`	Требуется для всех авторизованных запросов. Задает версию операции, используемой для этого запроса. Дополнительные сведения см. в разделе Управление версиями для служб хранилища Azure.
`x-ms-client-request-id`	Необязательный элемент. Предоставляет созданное клиентом непрозрачное значение с ограничением в 1 кибибайт (КиБ), которое записывается в журналы при настройке ведения журнала. Мы настоятельно рекомендуем использовать этот заголовок для сопоставления действий на стороне клиента с запросами, получаемыми сервером. Дополнительные сведения см. в разделе Мониторинг Хранилище BLOB-объектов Azure.

Эта операция также поддерживает использование условных заголовков для задания большого двоичного объекта только в том случае, если выполняется указанное условие. Дополнительные сведения см. в разделе Указание условных заголовков для операций с хранилищем BLOB-объектов.

Текст запроса

Нет.

Ответ

Ответ включает код состояния HTTP и набор заголовков ответа.

Код состояния

Успешная операция возвращает код состояния 200 (ОК).

Сведения о кодах состояния см. в разделе Коды состояния и ошибок.

Заголовки ответов

Ответ для этой операции содержит заголовки ниже. Ответ может также включать дополнительные стандартные заголовки HTTP. Все стандартные заголовки соответствуют спецификации протокола HTTP/1.1.

Заголовок ответа	Описание
`x-ms-request-id`	Уникально идентифицирует выполненный запрос и может использоваться для устранения неполадок с запросом. Дополнительные сведения см. в разделе Устранение неполадок с операциями API.
`x-ms-version`	Указывает версию хранилища BLOB-объектов, которая использовалась для выполнения запроса. Возвращается для запросов, выполненных в версии 2009-09-19 и более поздних версий.
`x-ms-client-request-id`	Может использоваться для устранения неполадок с запросами и соответствующими ответами. Значение этого заголовка равно значению заголовка `x-ms-client-request-id` , если он присутствует в запросе и содержит не более 1024 видимых символов ASCII. Если заголовок `x-ms-client-request-id` отсутствует в запросе, он не будет присутствовать в ответе.
`x-ms-immutability-policy-until-date`	Указывает дату хранения, заданную для большого двоичного объекта. Это дата, до которой blob-объект можно защитить от изменения или удаления.
`x-ms-immutability-policy-mode`	Указывает режим политики неизменности, заданный для большого двоичного объекта. Значения: `unlocked` и `locked`. Значение`unlocked` указывает, что пользователь может изменить политику путем увеличения или уменьшения срока хранения до даты, и `locked` указывает, что эти действия запрещены.

Авторизация

При вызове любой операции доступа к данным в службе хранилища Azure требуется авторизация. Вы можете авторизовать Set Blob Immutability Policy операцию, как описано ниже.

Служба хранилища Azure поддерживает использование Microsoft Entra ID для авторизации запросов к данным BLOB-объектов. С помощью Microsoft Entra ID можно использовать управление доступом на основе ролей Azure (Azure RBAC) для предоставления разрешений субъекту безопасности. Субъект безопасности может быть пользователем, группой, субъектом-службой приложения или управляемым удостоверением Azure. Субъект безопасности проходит проверку подлинности с помощью Microsoft Entra ID для возврата маркера OAuth 2.0. Затем маркер можно использовать для авторизации запроса к службе BLOB-объектов.

Дополнительные сведения об авторизации с помощью Microsoft Entra ID см. в статье Авторизация доступа к BLOB-объектам с помощью Microsoft Entra ID.

Разрешения

Ниже перечислены действия RBAC, необходимые для Microsoft Entra пользователя, группы или субъекта-службы для вызова Set Blob Immutability Policy операции, а также встроенная роль Azure RBAC с наименьшими привилегиями, которая включает это действие:

Действие Azure RBAC:Microsoft.Storage/storageAccounts/blobServices/containers/write
Встроенная роль с минимальными привилегиями:Участник данных BLOB-объектов хранилища

Дополнительные сведения о назначении ролей с помощью Azure RBAC см. в статье Назначение роли Azure для доступа к данным BLOB-объектов.

Подписанный URL-адрес (SAS) обеспечивает безопасный делегированный доступ к ресурсам в учетной записи хранения. С помощью SAS вы можете детально контролировать, как клиент может получить доступ к данным. Вы можете указать, к какому ресурсу может обращаться клиент, какие разрешения у него есть для этих ресурсов, а также срок действия SAS.

Операция Set Blob Immutability Policy поддерживает три типа подписанных URL-адресов: SAS делегирования пользователей, SAS службы и SAS учетной записи.

Для обеспечения безопасности рекомендуется использовать Microsoft Entra учетные данные, а не ключ учетной записи хранения, который может быть проще скомпрометирован. Если для разработки приложения требуются подписанные URL-адреса, по возможности используйте учетные данные Microsoft Entra, чтобы создать SAS для делегирования пользователей.

Если доступ к общему ключу запрещен для учетной записи хранения, маркер SAS службы или маркер SAS учетной записи не будет разрешен при запросе к Хранилищу BLOB-объектов. Дополнительные сведения см. в статье Общие сведения о том, как запрет общего ключа влияет на маркеры SAS.

SAS для делегирования пользователей

SAS для делегирования пользователей защищен с помощью учетных данных Microsoft Entra, а также разрешений, указанных для SAS.

Set Blob Immutability Policy Для вызова операции с помощью маркера SAS, делегированного контейнеру или ресурсу BLOB-объекта, требуется разрешение неизменяемого хранилища (i) в составе маркера SAS делегирования пользователя.

Дополнительные сведения о SAS для делегирования пользователей см. в статье Создание SAS для делегирования пользователей.

SAS для службы

SAS для службы защищен с помощью ключа учетной записи хранения. SAS службы делегирует доступ к ресурсу в одной службе хранилища Azure, например в хранилище BLOB-объектов.

Дополнительные сведения о SAS службы см. в статье Создание SAS службы.

SAS для учетной записи

SAS для учетной записи защищен с помощью ключа учетной записи хранения. SAS учетной записи делегирует доступ к ресурсам в одной или нескольких службах хранилища. Все операции, доступные через SAS для службы или делегирования пользователей, также доступны через SAS для учетной записи.

В следующей таблице указаны тип подписанного ресурса и подписанные разрешения, которые необходимо указать при делегировании доступа.

Операция	Подписанная служба	Подписанный тип ресурса	Подписанное разрешение
Настройка политики неизменяемости BLOB-объектов	Большой двоичный объект (b)	Объект (o)	Неизменяемое хранилище (i)

Дополнительные сведения о SAS учетной записи см. в статье Создание SAS учетной записи.

Операция Set Blob Immutability Policy поддерживает авторизацию с помощью общего ключа. Авторизация с помощью ключей учетной записи не рекомендуется в большинстве сценариев, так как она менее безопасна.

Корпорация Майкрософт рекомендует по возможности запретить авторизацию с общим ключом для учетной записи хранения. Дополнительные сведения см. в статье Предотвращение авторизации с помощью общего ключа.

Установка политики неизменяемости для snapshot или версии разрешена с версии REST 2020-06-12.
Когда политика неизменяемости находится в unlocked режиме , пользователи могут обновлять срок хранения до даты. Если политика неизменяемости находится в locked режиме, пользователи могут продлить срок хранения только до даты. Режим политики неизменности можно изменить с unlocked на , но не с на unlockedlocked .locked
Если для BLOB-объекта существует политика неизменяемости, а также политика неизменности по умолчанию для контейнера или учетной записи, политика неизменяемости BLOB-объектов имеет прецедент.
Для политики PutBlockList/PutBlob/CopyBlob неизменяемости на уровне BLOB-объектов операции разрешены, так как эти операции создают новую версию.
Если политика неизменности находится в unlocked режиме , пользователи могут удалить политику неизменности с помощью следующего API:

Метод	Универсальный код ресурса (URI) запроса	параметр "Версия HTTP"
`Delete`	`https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies`	HTTP/1.1

Примечание

Дополнительные сведения см. в разделе Неизменяемое хранилище.

Выставление счетов

Запросы на ценообразование могут исходить от клиентов, использующих API хранилища BLOB-объектов, напрямую через REST API хранилища BLOB-объектов или из клиентской библиотеки службы хранилища Azure. Эти запросы начисляют плату за каждую транзакцию. Тип транзакции влияет на способ оплаты учетной записи. Например, транзакции чтения начисляются на категорию выставления счетов, отличную от категории операций записи. В следующей таблице показана категория выставления счетов для Set Blob Immutability Policy запросов на основе типа учетной записи хранения.

Операция	Тип учетной записи хранения	Категория выставления счетов
Настройка политики неизменяемости BLOB-объектов	Блочный BLOB-объект (ценовая категории "Премиум") Общего назначения версии 2 (цен. категория "Стандартный") Стандартная общего назначения версии 1	Другие операции

Дополнительные сведения о ценах для указанной категории выставления счетов см. в разделе Цены на Хранилище BLOB-объектов Azure.

См. также раздел

Авторизация запросов к службе хранилища Azure
Коды состояний и ошибок
Коды ошибок хранилища BLOB-объектов
Настройка времени ожидания для операций с хранилищем BLOB-объектов