Ange blob oföränderlighetsprincip

Åtgärden Set Blob Immutability Policy anger oföränderlighetsprincipen för en blob. Den här åtgärden uppdaterar inte blobens ETag. Det här API:et är tillgängligt från och med version 2020-06-12.

Förfrågan

Begäran Set Blob Immutability Policy kan konstrueras på följande sätt. Vi rekommenderar att du använder HTTPS. Ersätt myaccount med namnet på ditt lagringskonto och myblob med det blobnamn som oföränderlighetsprincipen ska ändras för.

Metod	URI för förfrågan	HTTP-version
PUT	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

URI-parametrar

Du kan ange följande ytterligare parametrar på begärande-URI:n:

Parameter	Beskrivning
snapshot	Valfritt. Parametern snapshot är ett täckande DateTime värde som när den finns anger blobögonblicksbilden för att ange en nivå på. Mer information om hur du arbetar med blobögonblicksbilder finns i Skapa en ögonblicksbild av en blob
versionid	Valfritt för version 2019-12-12 och senare. Parametern versionid är ett täckande DateTime värde som när den finns anger vilken version av bloben som en nivå ska anges på.
timeout	Valfritt. Parametern timeout uttrycks i sekunder. Mer information finns i Ange tidsgränser för Blob Storage-åtgärder.

Begärandehuvuden

De obligatoriska och valfria begärandehuvudena beskrivs i följande tabell:

Begärandehuvud	Beskrivning
Authorization	Krävs. Anger auktoriseringsschema, lagringskontonamn och signatur. Mer information finns i Auktorisera begäranden till Azure Storage.
Date eller x-ms-date	Krävs. Anger Coordinated Universal Time (UTC) för begäran. Mer information finns i Auktorisera begäranden till Azure Storage.
x-ms-immutability-policy-until-date	Krävs. Anger det kvarhållningsdatum som ska anges för bloben. Det här är det datum då bloben kan skyddas från att ändras eller tas bort. För bloblagring eller v2-konto för generell användning är giltiga värden i RFC1123 format. Tidigare tider är inte giltiga.
x-ms-immutability-policy-mode	Valfritt. Om inget värde anges är Unlockedstandardvärdet . Anger det oföränderlighetsprincipläge som ska ställas in på bloben. För bloblagring eller v2-konto för generell användning är Unlocked/Lockedgiltiga värden . unlocked anger att användaren kan ändra principen genom att öka eller minska kvarhållningen fram till datumet. locked anger att dessa åtgärder är förbjudna.
x-ms-version	Krävs för alla auktoriserade begäranden. Anger vilken version av åtgärden som ska användas för den här begäran. Mer information finns i Versionshantering för Azure Storage-tjänsterna.
x-ms-client-request-id	Valfritt. Tillhandahåller ett klientgenererat, täckande värde med en teckengräns på 1 kibibyte (KiB) som registreras i loggarna när loggning har konfigurerats. Vi rekommenderar starkt att du använder det här huvudet för att korrelera aktiviteter på klientsidan med begäranden som servern tar emot. Mer information finns i Övervaka Azure Blob Storage.

Den här åtgärden stöder också användning av villkorsstyrda rubriker för att endast ange bloben om ett angivet villkor uppfylls. Mer information finns i Ange villkorsstyrda rubriker för Blob Storage-åtgärder.

Begärandetext

Inga.

Svarsåtgärder

Svaret innehåller en HTTP-statuskod och en uppsättning svarshuvuden.

Statuskod

En lyckad åtgärd returnerar statuskod 200 (OK).

Information om statuskoder finns i Status och felkoder.

Svarshuvuden

Svaret för den här åtgärden innehåller rubrikerna nedan. Svaret kan också innehålla ytterligare HTTP-standardhuvuden. Alla standardhuvuden överensstämmer med http/1.1-protokollspecifikationen.

Svarsrubrik	Description
x-ms-request-id	Identifierar den begäran som gjordes unikt och kan användas för att felsöka begäran. Mer information finns i Felsöka API-åtgärder.
x-ms-version	Anger den Blob Storage-version som användes för att köra begäran. Returneras för begäranden mot version 2009-09-19 och senare.
x-ms-client-request-id	Kan användas för att felsöka begäranden och motsvarande svar. Värdet för det här huvudet är lika med värdet x-ms-client-request-id för rubriken om det finns i begäran och värdet inte innehåller fler än 1 024 synliga ASCII-tecken. Om rubriken x-ms-client-request-id inte finns i begäran finns den inte i svaret.
x-ms-immutability-policy-until-date	Anger det kvarhållningsdatum som ska anges på bloben. Det här är det datum då bloben kan skyddas från att ändras eller tas bort.
x-ms-immutability-policy-mode	Anger det oföränderlighetsprincipläge som har angetts för bloben. Värdena är unlocked och locked. Värdetunlocked anger att användaren kan ändra principen genom att öka eller minska kvarhållningsdatumet ochlocked anger att dessa åtgärder är förbjudna.

Auktorisering

Auktorisering krävs när du anropar en dataåtkomståtgärd i Azure Storage. Du kan auktorisera åtgärden enligt beskrivningen Set Blob Immutability Policy nedan.

Microsoft Entra ID

Azure Storage stöder användning av Microsoft Entra ID för att auktorisera begäranden till blobdata. Med Microsoft Entra ID kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt. Säkerhetsobjektet kan vara en användare, grupp, programtjänstens huvudnamn eller en hanterad Azure-identitet. Säkerhetsobjektet autentiseras av Microsoft Entra ID för att returnera en OAuth 2.0-token. Token kan sedan användas för att auktorisera en begäran mot Blob-tjänsten.

Mer information om auktorisering med Microsoft Entra ID finns i Auktorisera åtkomst till blobar med hjälp av Microsoft Entra ID.

Behörigheter

Nedan visas den RBAC-åtgärd som krävs för att en Microsoft Entra användare, grupp eller tjänstens huvudnamn ska kunna anropa Set Blob Immutability Policy åtgärden och den minst privilegierade inbyggda Azure RBAC-rollen som innehåller den här åtgärden:

• Azure RBAC-åtgärd:Microsoft.Storage/storageAccounts/blobServices/containers/write
• Minsta privilegierade inbyggda roll:Storage Blob Data-deltagare

Mer information om hur du tilldelar roller med hjälp av Azure RBAC finns i Tilldela en Azure-roll för åtkomst till blobdata.

Signaturer för delad åtkomst (SAS)

En signatur för delad åtkomst (SAS) ger säker delegerad åtkomst till resurser i ett lagringskonto. Med en SAS har du detaljerad kontroll över hur en klient kan komma åt data. Du kan ange vilken resurs klienten får åtkomst till, vilka behörigheter de har till dessa resurser och hur länge SAS är giltig.

Åtgärden Set Blob Immutability Policy stöder tre typer av signaturer för delad åtkomst: SAS för användardelegering, tjänst-SAS och konto-SAS.

Vi rekommenderar att du använder Microsoft Entra autentiseringsuppgifter i stället för lagringskontonyckeln, vilket är enklare att kompromettera. Om din programdesign kräver signaturer för delad åtkomst använder du Microsoft Entra autentiseringsuppgifter för att skapa en SAS för användardelegering när det är möjligt.

När åtkomst med delad nyckel inte tillåts för lagringskontot tillåts inte en SAS-token för tjänsten eller en SAS-token för kontot på en begäran till Blob Storage. Mer information finns i Förstå hur nekande av delad nyckel påverkar SAS-token.

SAS för användardelegering

En SAS för användardelegering skyddas med Microsoft Entra autentiseringsuppgifter och även av de behörigheter som anges för SAS.

Set Blob Immutability Policy Att anropa åtgärden med en SAS-token som delegerats till en container eller blobresurs kräver behörigheten Oföränderlig lagring (i) som en del av SAS-token för användardelegering.

Mer information om SAS för användardelegering finns i Skapa en SAS för användardelegering.

Tjänst-SAS

En tjänst-SAS skyddas med lagringskontonyckeln. En tjänst-SAS delegerar åtkomst till en resurs i en enda Azure Storage-tjänst, till exempel bloblagring.

Set Blob Immutability Policy Att anropa åtgärden med hjälp av en SAS-token som delegerats till en container eller blobresurs kräver behörigheten Oföränderlig lagring (i) som en del av tjänstens SAS-token.

Mer information om tjänstens SAS finns i Skapa en tjänst-SAS.

Konto-SAS

Ett konto-SAS skyddas med lagringskontonyckeln. En konto-SAS delegerar åtkomst till resurser i en eller flera av lagringstjänsterna. Alla åtgärder som är tillgängliga via en sas för tjänst- eller användardelegering är också tillgängliga via ett konto-SAS.

Följande tabell anger den signerade resurstypen och de signerade behörigheter som ska anges när åtkomst delegeras:

Åtgärd	Signerad tjänst	Signerad resurstyp	Signerad behörighet
Ange blob oföränderlighetsprincip	Blob (b)	Objekt (o)	Oföränderlig lagring (i)

Mer information om kontots SAS finns i Skapa ett konto-SAS.

Delad nyckel

Åtgärden Set Blob Immutability Policy stöder auktorisering med delad nyckel. Auktorisering med kontonycklar rekommenderas inte för de flesta scenarier, eftersom det är mindre säkert.

Microsoft rekommenderar att du inte tillåter auktorisering av delad nyckel för lagringskontot när det är möjligt. Mer information finns i Förhindra auktorisering med delad nyckel.

Kommentarer

Om du ställer in blobens oföränderlighetsprincip på ett bloblagringskonto eller v2-konto för generell användning har du följande begränsningar:

• Det är tillåtet att ange en oföränderlighetsprincip för en ögonblicksbild eller en version från och med REST version 2020-06-12.
• När oföränderlighetsprincipen är i unlocked läge kan användarna uppdatera kvarhållningen fram till datumet. När oföränderlighetsprincipen är i locked läge kan användarna bara förlänga kvarhållningen till datumet. Oföränderlighetsprincipläge kan ändras från unlocked till locked, men inte från locked till unlocked.
• När det finns en oföränderlighetsprincip på en blob, och det även finns en standardprincip för oföränderlighet i containern eller kontot, får blobens oföränderlighetsprincip ett prejudikat.
• För en oföränderlighetsprincip PutBlockList/PutBlob/CopyBlob på blobnivå tillåts åtgärder eftersom dessa åtgärder genererar en ny version.
• När oföränderlighetsprincipen är i unlocked läge kan användarna ta bort oföränderlighetsprincipen med hjälp av följande API:

Metod	URI för förfrågan	HTTP-version
Delete	https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies	HTTP/1.1

Anteckning

Mer information finns i Oföränderlig lagring.

Fakturering

Prisbegäranden kan komma från klienter som använder Blob Storage-API:er, antingen direkt via REST-API:et för Blob Storage eller från ett Azure Storage-klientbibliotek. Dessa begäranden ackumulerar avgifter per transaktion. Typen av transaktion påverkar hur kontot debiteras. Lästransaktioner ackumuleras till exempel till en annan faktureringskategori än skrivtransaktioner. I följande tabell visas faktureringskategorin för Set Blob Immutability Policy begäranden baserat på lagringskontotypen:

Åtgärd	Typ av lagringskonto	Faktureringskategori
Ange blob oföränderlighetsprincip	Premium-blockblob Standard generell användning v2 Standard generell användning v1	Andra åtgärder

Mer information om priser för den angivna faktureringskategorin finns i Azure Blob Storage Prissättning.

Se även

Auktorisera begäranden till Azure Storage
Status- och felkoder
Felkoder för Blob Storage
Ange tidsgränser för Blob Storage-åtgärder