Ange blob oföränderlighetsprincip

Artikel
04/12/2023

Åtgärden Set Blob Immutability Policy anger oföränderlighetsprincipen för en blob. Den här åtgärden uppdaterar inte blobens ETag. Det här API:et är tillgängligt från och med version 2020-06-12.

Förfrågan

Begäran Set Blob Immutability Policy kan konstrueras på följande sätt. Vi rekommenderar att du använder HTTPS. Ersätt myaccount med namnet på ditt lagringskonto och myblob med det blobnamn som oföränderlighetsprincipen ska ändras för.

Metod	URI för förfrågan	HTTP-version
`PUT`	`https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies`	HTTP/1.1

URI-parametrar

Du kan ange följande ytterligare parametrar på begärande-URI:n:

Parameter	Beskrivning
`snapshot`	Valfritt. Parametern snapshot är ett täckande `DateTime` värde som när den finns anger blobögonblicksbilden för att ange en nivå på. Mer information om hur du arbetar med blobögonblicksbilder finns i Skapa en ögonblicksbild av en blob
`versionid`	Valfritt för version 2019-12-12 och senare. Parametern `versionid` är ett täckande `DateTime` värde som när den finns anger vilken version av bloben som en nivå ska anges på.
`timeout`	Valfritt. Parametern `timeout` uttrycks i sekunder. Mer information finns i Ange tidsgränser för Blob Storage-åtgärder.

Begärandehuvuden

De obligatoriska och valfria begärandehuvudena beskrivs i följande tabell:

Begärandehuvud	Beskrivning
`Authorization`	Krävs. Anger auktoriseringsschema, lagringskontonamn och signatur. Mer information finns i Auktorisera begäranden till Azure Storage.
`Date` eller `x-ms-date`	Krävs. Anger Coordinated Universal Time (UTC) för begäran. Mer information finns i Auktorisera begäranden till Azure Storage.
`x-ms-immutability-policy-until-date`	Krävs. Anger det kvarhållningsdatum som ska anges för bloben. Det här är det datum då bloben kan skyddas från att ändras eller tas bort. För bloblagring eller v2-konto för generell användning är giltiga värden i RFC1123-format. Tidigare tider är inte giltiga.
`x-ms-immutability-policy-mode`	Valfritt. Om inget värde anges är `Unlocked`standardvärdet . Anger det oföränderlighetsprincipläge som ska ställas in på bloben. För bloblagring eller v2-konto för generell användning är `Unlocked`/`Locked`giltiga värden . `unlocked` anger att användaren kan ändra principen genom att öka eller minska kvarhållningen fram till datumet. `locked` anger att dessa åtgärder är förbjudna.
`x-ms-version`	Krävs för alla auktoriserade begäranden. Anger vilken version av åtgärden som ska användas för den här begäran. Mer information finns i Versionshantering för Azure Storage-tjänsterna.
`x-ms-client-request-id`	Valfritt. Tillhandahåller ett klientgenererat, täckande värde med en teckengräns på 1 kibibyte (KiB) som registreras i loggarna när loggning har konfigurerats. Vi rekommenderar starkt att du använder det här huvudet för att korrelera aktiviteter på klientsidan med begäranden som servern tar emot. Mer information finns i Övervaka Azure Blob Storage.

Den här åtgärden stöder också användning av villkorsstyrda rubriker för att endast ange bloben om ett angivet villkor uppfylls. Mer information finns i Ange villkorsstyrda rubriker för Blob Storage-åtgärder.

Begärandetext

Inga.

Svarsåtgärder

Svaret innehåller en HTTP-statuskod och en uppsättning svarshuvuden.

Statuskod

En lyckad åtgärd returnerar statuskod 200 (OK).

Information om statuskoder finns i Status och felkoder.

Svarshuvuden

Svaret för den här åtgärden innehåller rubrikerna nedan. Svaret kan också innehålla ytterligare HTTP-standardhuvuden. Alla standardhuvuden överensstämmer med http/1.1-protokollspecifikationen.

Svarsrubrik	Description
`x-ms-request-id`	Identifierar den begäran som gjordes unikt och kan användas för att felsöka begäran. Mer information finns i Felsöka API-åtgärder.
`x-ms-version`	Anger den Blob Storage-version som användes för att köra begäran. Returneras för begäranden mot version 2009-09-19 och senare.
`x-ms-client-request-id`	Kan användas för att felsöka begäranden och motsvarande svar. Värdet för det här huvudet är lika med värdet `x-ms-client-request-id` för rubriken om det finns i begäran och värdet inte innehåller fler än 1 024 synliga ASCII-tecken. Om rubriken `x-ms-client-request-id` inte finns i begäran finns den inte i svaret.
`x-ms-immutability-policy-until-date`	Anger det kvarhållningsdatum som ska anges på bloben. Det här är det datum då bloben kan skyddas från att ändras eller tas bort.
`x-ms-immutability-policy-mode`	Anger det oföränderlighetsprincipläge som har angetts för bloben. Värdena är `unlocked` och `locked`. Värdet`unlocked` anger att användaren kan ändra principen genom att öka eller minska kvarhållningsdatumet och`locked` anger att dessa åtgärder är förbjudna.

Auktorisering

Auktorisering krävs när du anropar en dataåtkomståtgärd i Azure Storage. Du kan auktorisera åtgärden enligt beskrivningen Set Blob Immutability Policy nedan.

Azure Storage stöder användning av Azure Active Directory (Azure AD) för att auktorisera begäranden till blobdata. Med Azure AD kan du använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att bevilja behörigheter till ett säkerhetsobjekt. Säkerhetsobjektet kan vara en användare, grupp, programtjänstens huvudnamn eller en hanterad Azure-identitet. Säkerhetsobjektet autentiseras av Azure AD för att returnera en OAuth 2.0-token. Token kan sedan användas för att auktorisera en begäran mot Blob-tjänsten.

Mer information om auktorisering med hjälp av Azure AD finns i Auktorisera åtkomst till blobar med Hjälp av Azure Active Directory.

Behörigheter

Nedan visas den RBAC-åtgärd som krävs för att en Azure AD användare, grupp eller tjänstens huvudnamn ska anropa Set Blob Immutability Policy åtgärden och den minst privilegierade inbyggda Azure RBAC-rollen som innehåller den här åtgärden:

Azure RBAC-åtgärd:Microsoft.Storage/storageAccounts/blobServices/containers/write
Minsta privilegierade inbyggda roll:Storage Blob Data-deltagare

Mer information om hur du tilldelar roller med hjälp av Azure RBAC finns i Tilldela en Azure-roll för åtkomst till blobdata.

En signatur för delad åtkomst (SAS) ger säker delegerad åtkomst till resurser i ett lagringskonto. Med en SAS har du detaljerad kontroll över hur en klient kan komma åt data. Du kan ange vilken resurs klienten får åtkomst till, vilka behörigheter de har till dessa resurser och hur länge SAS är giltig.

Åtgärden Set Blob Immutability Policy stöder tre typer av signaturer för delad åtkomst: SAS för användardelegering, tjänst-SAS och konto-SAS.

Vi rekommenderar att du använder Azure AD autentiseringsuppgifter i stället för lagringskontonyckeln, vilket är enklare att kompromettera. Om din programdesign kräver signaturer för delad åtkomst använder du Azure AD autentiseringsuppgifter för att skapa en SAS för användardelegering när det är möjligt.

När åtkomst med delad nyckel inte tillåts för lagringskontot tillåts inte en SAS-token för tjänsten eller en SAS-token för kontot på en begäran till Blob Storage. Mer information finns i Förstå hur nekande av delad nyckel påverkar SAS-token.

SAS för användardelegering

En SAS för användardelegering skyddas med autentiseringsuppgifter för Azure Active Directory (Azure AD) och även av de behörigheter som anges för SAS.

Set Blob Immutability Policy Att anropa åtgärden med en SAS-token som delegerats till en container eller blobresurs kräver behörigheten Oföränderlig lagring (i) som en del av SAS-token för användardelegering.

Mer information om SAS för användardelegering finns i Skapa en SAS för användardelegering.

Tjänst-SAS

En tjänst-SAS skyddas med lagringskontonyckeln. En tjänst-SAS delegerar åtkomst till en resurs i en enda Azure Storage-tjänst, till exempel bloblagring.

Mer information om tjänstens SAS finns i Skapa en tjänst-SAS.

Konto-SAS

Ett konto-SAS skyddas med lagringskontonyckeln. En konto-SAS delegerar åtkomst till resurser i en eller flera av lagringstjänsterna. Alla åtgärder som är tillgängliga via en tjänst eller sas för användardelegering är också tillgängliga via ett konto-SAS.

Följande tabell anger den signerade resurstypen och signerade behörigheter som ska anges när åtkomst delegeras:

Åtgärd	Signerad tjänst	Signerad resurstyp	Signerad behörighet
Ange blob oföränderlighetsprincip	Blob (b)	Objekt (o)	Oföränderlig lagring (i)

Mer information om kontots SAS finns i Skapa ett konto-SAS.

Kommentarer

Om du ställer in blobens oföränderlighetsprincip på ett bloblagringskonto eller v2-konto för generell användning har du följande begränsningar:

Det är tillåtet att ange en oföränderlighetsprincip för en ögonblicksbild eller en version från och med REST version 2020-06-12.
När oföränderlighetsprincipen är i unlocked läge kan användarna uppdatera kvarhållningen fram till datumet. När oföränderlighetsprincipen är i locked läge kan användarna bara förlänga kvarhållningen till datumet. Oföränderlighetsprincipläge kan ändras från unlocked till locked, men inte från locked till unlocked.
När det finns en oföränderlighetsprincip på en blob, och det även finns en standardprincip för oföränderlighet i containern eller kontot, får blobens oföränderlighetsprincip ett prejudikat.
För en oföränderlighetsprincip PutBlockList/PutBlob/CopyBlob på blobnivå tillåts åtgärder eftersom dessa åtgärder genererar en ny version.
När oföränderlighetsprincipen är i unlocked läge kan användarna ta bort oföränderlighetsprincipen med hjälp av följande API:

Metod	URI för förfrågan	HTTP-version
`Delete`	`https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=immutabilityPolicies`	HTTP/1.1

Anteckning

Mer information finns i Oföränderlig lagring.

Se även

Auktorisera begäranden till Azure Storage
Status- och felkoder
Felkoder för Blob Storage
Ange tidsgränser för Blob Storage-åtgärder