Definiera en lagrad åtkomstprincip
En lagrad åtkomstprincip ger ytterligare kontroll över signaturer för delad åtkomst på tjänstnivå (SAS) på serversidan. Genom att upprätta en lagrad åtkomstprincip kan du gruppera signaturer för delad åtkomst och ange ytterligare begränsningar för signaturer som är bundna av principen.
Du kan använda en lagrad åtkomstprincip för att ändra starttid, förfallotid eller behörigheter för en signatur. Du kan också använda en lagrad åtkomstprincip för att återkalla en signatur när den har utfärdats.
Följande lagringsresurser stöder lagrade åtkomstprinciper:
- Blobcontainrar
- Filresurser
- Köer
- Tabeller
Anteckning
En lagrad åtkomstprincip på en container kan associeras med en signatur för delad åtkomst som ger behörigheter till själva containern eller till de blobar som den innehåller. På samma sätt kan en lagrad åtkomstprincip på en filresurs associeras med en signatur för delad åtkomst som ger behörighet till själva resursen eller till de filer som den innehåller.
Lagrade åtkomstprinciper stöds inte för SAS för användardelegering eller konto-SAS.
Skapa eller ändra en lagrad åtkomstprincip
Åtkomstprincipen för en signatur för delad åtkomst består av starttid, förfallotid och behörigheter för signaturen. Du kan ange något av följande alternativ eller kombinera dem:
- Alla dessa parametrar på signatur-URI:n och ingen i den lagrade åtkomstprincipen
- Alla dessa parametrar i den lagrade åtkomstprincipen och ingen på URI:n
Du kan dock inte ange en parameter för både SAS-token och den lagrade åtkomstprincipen.
Om du vill skapa eller ändra en lagrad åtkomstprincip anropar Set ACL du åtgärden för resursen (se Ange container-ACL, Ange kö-ACL, Ange tabell-ACL eller Ange resurs-ACL) med en begärandetext som anger villkoren för åtkomstprincipen. Brödtexten i begäran innehåller en unik signerad identifierare som du väljer, upp till 64 tecken. Brödtexten i begäran innehåller även valfria parametrar för åtkomstprincipen enligt följande:
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>unique-64-char-value</Id>
<AccessPolicy>
<Start>start-time</Start>
<Expiry>expiry-time</Expiry>
<Permission>abbreviated-permission-list</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
Du kan ange högst fem åtkomstprinciper för en container, tabell, kö eller resurs åt gången. Varje SignedIdentifier fält, med sitt unika Id fält, motsvarar en åtkomstprincip. Om du försöker ange fler än fem åtkomstprinciper samtidigt returnerar tjänsten statuskod 400 (felaktig begäran).
Anteckning
När du skapar eller uppdaterar en lagrad åtkomstprincip i en container, tabell, kö eller resurs kan det ta upp till 30 sekunder innan ändringen börjar gälla. Under det här intervallet kan begäranden mot en signatur för delad åtkomst som är associerad med den lagrade åtkomstprincipen misslyckas med statuskod 403 (Förbjuden) tills åtkomstprincipen blir aktiv.
Du kan inte ange intervallbegränsningar för tabellentiteter (startpk, startrk, endpkoch endrk) i en lagrad åtkomstprincip.
Ändra eller återkalla en lagrad åtkomstprincip
Om du vill ändra parametrarna för en lagrad åtkomstprincip kan du anropa åtgärden åtkomstkontrollista (ACL) för resurstypen för att ersätta den befintliga principen. I den åtgärden anger du en ny starttid, förfallotid eller uppsättning behörigheter.
Om din befintliga princip till exempel ger läs- och skrivbehörighet till en resurs kan du ändra den så att den endast beviljar läsbehörighet för alla framtida begäranden. I det här fallet skulle den signerade identifieraren för den nya principen, som anges i ID fältet, vara identisk med den signerade identifieraren för principen som du ersätter.
Om du vill återkalla en lagrad åtkomstprincip kan du ta bort den, byta namn på den genom att ändra den signerade identifieraren eller ändra förfallotiden till ett tidigare värde. Om du ändrar den signerade identifieraren bryts associationerna mellan befintliga signaturer och den lagrade åtkomstprincipen. Om du ändrar förfallotiden till ett tidigare värde upphör alla associerade signaturer att upphöra att gälla. Om du tar bort eller ändrar den lagrade åtkomstprincipen påverkas omedelbart alla signaturer för delad åtkomst som är associerade med den.
Om du vill ta bort en enskild åtkomstprincip anropar du resursens Set ACL åtgärd. Skicka in den uppsättning signerade identifierare som du vill underhålla på containern. Om du vill ta bort alla åtkomstprinciper från resursen anropar Set ACL du åtgärden med en tom begärandetext.