Dela via


Ange container-ACL

Åtgärden Set Container ACL anger behörigheterna för den angivna containern. Behörigheterna anger om blobar i en container kan nås offentligt.

Från och med version 2009-09-19 tillhandahåller containerbehörigheterna följande alternativ för att hantera containeråtkomst:

  • Fullständig offentlig läsåtkomst: Container- och blobdata kan läsas via anonym begäran. Klienter kan räkna upp blobar i containern via anonym begäran, men kan inte räkna upp containrar i lagringskontot.

  • Offentlig läsåtkomst endast för blobar: Blobdata i den här containern kan läsas via anonym begäran, men containerdata är inte tillgängliga. Klienter kan inte räkna upp blobar i containern via anonym begäran.

  • Ingen offentlig läsåtkomst: Container- och blobdata kan endast läsas av kontoägaren.

Set Container ACL anger också en lagrad åtkomstprincip för användning med signaturer för delad åtkomst. Mer information finns i Definiera en lagrad åtkomstprincip.

All offentlig åtkomst till containern är anonym, liksom åtkomst via en signatur för delad åtkomst.

Förfrågan

Begäran Set Container ACL kan konstrueras på följande sätt. Vi rekommenderar att du använder HTTPS. Ersätt myaccount med namnet på ditt lagringskonto:

Metod URI för förfrågan HTTP-version
PUT https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl HTTP/1.1

Emulerad lagringstjänstbegäran

När du gör en begäran mot den emulerade lagringstjänsten anger du emulatorns värdnamn och blobtjänstporten som 127.0.0.1:10000, följt av namnet på det emulerade lagringskontot:

Metod URI för förfrågan HTTP-version
PUT http://127.0.0.1:10000/devstoreaccount1/mycontainer?restype=container&comp=acl HTTP/1.1

Mer information finns i Använda Azurite-emulatorn för lokal Azure Storage-utveckling.

URI-parametrar

Du kan ange följande ytterligare parametrar i begärande-URI:n:

Parameter Beskrivning
timeout Valfritt. Parametern timeout uttrycks i sekunder. Mer information finns i Ange tidsgränser för blobtjänståtgärder.

Begärandehuvuden

De obligatoriska och valfria begäranderubrikerna beskrivs i följande tabell:

Begärandehuvud Beskrivning
Authorization Krävs. Anger auktoriseringsschema, kontonamn och signatur. Mer information finns i Auktorisera begäranden till Azure Storage.
Date eller x-ms-date Krävs. Anger Coordinated Universal Time (UTC) för begäran. Mer information finns i Auktorisera begäranden till Azure Storage.
x-ms-version Valfritt. Anger vilken version av åtgärden som ska användas för den här begäran. Mer information finns i Versionshantering för Azure Storage-tjänsterna.
x-ms-blob-public-access Valfritt. Anger om data i containern kan nås offentligt och åtkomstnivån. Möjliga värden är:

- container: Anger fullständig offentlig läsåtkomst för container- och blobdata. Klienter kan räkna upp blobar i containern via anonym begäran, men kan inte räkna upp containrar i lagringskontot.
- blob: Anger offentlig läsåtkomst för blobar. Blobdata i den här containern kan läsas via anonym begäran, men containerdata är inte tillgängliga. Klienter kan inte räkna upp blobar i containern via anonym begäran.

Om det här huvudet inte ingår i begäran är containerdata privata för kontoägaren.

Observera att det inte är tillåtet att ange offentlig åtkomst för en container i ett Azure Premium Storage-konto.
x-ms-lease-id: <ID> Valfritt, version 2012-02-12 och senare. Om det anges Set Container ACL lyckas endast om containerns lån är aktivt och matchar det här ID:t. Om det inte finns något aktivt lån eller om ID:t inte matchar returneras 412 (villkorsfel).
x-ms-client-request-id Valfritt. Tillhandahåller ett klientgenererat, täckande värde med en teckengräns på 1 kibibyte (KiB) som registreras i loggarna när loggningen har konfigurerats. Vi rekommenderar starkt att du använder det här huvudet för att korrelera aktiviteter på klientsidan med begäranden som servern tar emot. Mer information finns i Övervaka Azure Blob Storage.

Den här åtgärden stöder också användning av villkorsstyrda rubriker för att köra åtgärden endast om ett angivet villkor uppfylls. Mer information finns i Ange villkorsstyrda rubriker för Blob Service-åtgärder.

Begärandetext

Ange en lagrad åtkomstprincip genom att ange en unik identifierare och åtkomstprincip i begärandetexten Set Container ACL för åtgärden.

Elementet SignedIdentifier innehåller den unika identifieraren, enligt vad som anges i elementet Id , och information om åtkomstprincipen, enligt vad som anges i elementet AccessPolicy . Den maximala längden för den unika identifieraren är 64 tecken.

Fälten Start och Expiry måste uttryckas som UTC-tider och måste följa ett giltigt ISO 8061-format. ISO 8061-format som stöds omfattar följande:

  • YYYY-MM-DD
  • YYYY-MM-DDThh:mmTZD
  • YYYY-MM-DDThh:mm:ssTZD
  • YYYY-MM-DDThh:mm:ss.fffffffTZD

För datumdelen av dessa format är en fyrsiffrig YYYY årsrepresentation, MM en tvåsiffrig månadsrepresentation och DD en tvåsiffrig dagrepresentation. För tidsdelen är hh timrepresentationen i 24-timmarsnotation, mm är den tvåsiffriga minutrepresentationen, ss är den tvåsiffriga andra representationen och fffffff är den sjusiffriga millisekundersrepresentationen. En tidsdesignare T separerar datum- och tidsdelarna i strängen och en tidszonsdesignare TZD anger en tidszon.

<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>unique-64-character-value</Id>  
    <AccessPolicy>  
      <Start>start-time</Start>  
      <Expiry>expiry-time</Expiry>  
      <Permission>abbreviated-permission-list</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

Exempelbegäran

Request Syntax:  
PUT https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl HTTP/1.1  
  
Request Headers:  
x-ms-version: 2011-08-18  
x-ms-date: Sun, 25 Sep 2011 00:42:49 GMT  
x-ms-blob-public-access: container  
Authorization: SharedKey myaccount:V47F2tYLS29MmHPhiR8FyiCny9zO5De3kVSF0RYQHmo=  
  
Request Body:  
<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>  
    <AccessPolicy>  
      <Start>2009-09-28T08:49:37.0000000Z</Start>  
      <Expiry>2009-09-29T08:49:37.0000000Z</Expiry>  
      <Permission>rwd</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

Svarsåtgärder

Svaret innehåller en HTTP-statuskod och en uppsättning svarshuvuden.

Statuskod

En lyckad åtgärd returnerar statuskoden 200 (OK).

Mer information om statuskoder finns i Status och felkoder.

Svarshuvuden

Svaret för den här åtgärden innehåller följande rubriker. Svaret kan också innehålla ytterligare HTTP-standardhuvuden. Alla standardhuvuden överensstämmer med HTTP/1.1-protokollspecifikationen.

Svarsrubrik Description
ETag ETag för containern. Om begärandeversionen är 2011-08-18 eller senare omges ETag-värdet av citattecken.
Last-Modified Returnerar datum och tid när containern senast ändrades. Datumformatet följer RFC 1123. Mer information finns i Representera datum/tid-värden i rubriker.

Alla åtgärder som ändrar containern eller dess egenskaper eller metadata uppdaterar den senast ändrade tiden, inklusive att ange containerns behörigheter. Åtgärder på blobbar påverkar inte den senast ändrade tiden för containern.
x-ms-request-id Identifierar unikt den begäran som gjordes och kan användas för att felsöka begäran. Mer information finns i Felsöka API-åtgärder
x-ms-version Anger den Blob Service-version som användes för att köra begäran. Det här huvudet returneras för begäranden mot version 2009-09-19 och senare.
Date Ett UTC-datum/tid-värde som genereras av tjänsten, vilket anger den tid då svaret initierades.
x-ms-client-request-id Kan användas för att felsöka begäranden och motsvarande svar. Värdet för det här huvudet är lika med värdet x-ms-client-request-id för huvudet om det finns i begäran och värdet inte innehåller fler än 1 024 synliga ASCII-tecken. x-ms-client-request-id Om rubriken inte finns i begäran visas den inte i svaret.

Exempelsvar

Response Status:  
HTTP/1.1 200 OK  
  
Response Headers:  
Transfer-Encoding: chunked  
Date: Sun, 25 Sep 2011 22:42:55 GMT  
ETag: "0x8CB171613397EAB"  
Last-Modified: Sun, 25 Sep 2011 22:42:55 GMT  
x-ms-version: 2011-08-18  
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0  

Auktorisering

Åtgärden Set Container ACL stöder endast auktorisering av delad nyckel.

Kommentarer

Endast kontoägaren kan komma åt resurser i en viss container, såvida inte ägaren har angett att containerresurser är tillgängliga för offentlig åtkomst genom att ange behörigheter för containern eller har utfärdat en signatur för delad åtkomst för en resurs i containern.

När du anger behörigheter för en container ersätts de befintliga behörigheterna. Om du vill uppdatera containerns behörigheter anropar du Hämta container-ACL för att hämta alla åtkomstprinciper som är associerade med containern. Ändra den åtkomstprincip som du vill ändra och anropa Set Container ACL sedan med den fullständiga datauppsättningen för att utföra uppdateringen.

Aktivera anonym offentlig åtkomst på containerdata

Om du vill aktivera anonym offentlig läsåtkomst för containerdata anropar du Set Container ACL med x-ms-blob-public-access huvudet inställt på container eller blob. Om du vill inaktivera anonym åtkomst anropar Set Container ACL du utan att x-ms-blob-public-access ange rubriken.

Om du anger x-ms-blob-public-access till blobkan klienterna anropa följande åtgärder anonymt:

Om du anger x-ms-blob-public-access till containerkan klienterna anropa följande åtgärder anonymt:

Upprätta åtkomstprinciper på containernivå

En lagrad åtkomstprincip kan ange starttid, förfallotid och behörigheter för de signaturer för delad åtkomst som den är associerad med. Beroende på hur du vill styra åtkomsten till din container eller blobresurs kan du ange alla dessa parametrar i principen för lagrad åtkomst och utelämna dem från URL:en för signaturen för delad åtkomst. Genom att göra det kan du antingen ändra den associerade signaturens beteende när som helst eller återkalla den. Eller så kan du ange en eller flera åtkomstprincipparametrar i den lagrade åtkomstprincipen och de andra på URL:en. Slutligen kan du ange alla parametrar på URL:en. I det här fallet kan du använda den lagrade åtkomstprincipen för att återkalla signaturen, men inte för att ändra dess beteende. Mer information finns i Definiera en lagrad åtkomstprincip.

Tillsammans måste signaturen för delad åtkomst och den lagrade åtkomstprincipen innehålla alla fält som krävs för att auktorisera signaturen. Om obligatoriska fält saknas misslyckas begäran. På samma sätt misslyckas begäran med statuskod 400 (felaktig begäran) om ett fält anges i både url:en för signatur för delad åtkomst och den lagrade åtkomstprincipen.

Som mest kan fem separata åtkomstprinciper anges för en enda container när som helst. Om fler än fem åtkomstprinciper skickas i begärandetexten returnerar tjänsten statuskoden 400 (felaktig begäran).

En signatur för delad åtkomst kan utfärdas på en container eller blob oavsett om containerdata är tillgängliga för anonym läsåtkomst. En signatur för delad åtkomst ger ett större mått på kontroll över hur, när och till vem en resurs görs tillgänglig.

Anteckning

När du upprättar en lagrad åtkomstprincip för en container kan det ta upp till 30 sekunder innan principen börjar gälla. Under det här intervallet, tills principen blir aktiv, misslyckas en signatur för delad åtkomst som är associerad med den lagrade åtkomstprincipen med statuskoden 403 (Förbjuden).

Fakturering

Prisbegäranden kan komma från klienter som använder Blob Storage-API:er, antingen direkt via REST-API:et för Blob Storage eller från ett Azure Storage-klientbibliotek. Dessa begäranden ackumulerar avgifter per transaktion. Typen av transaktion påverkar hur kontot debiteras. Lästransaktioner till exempel tillfaller en annan faktureringskategori än skrivtransaktioner. I följande tabell visas faktureringskategorin för Set Container ACL begäranden baserat på lagringskontotypen:

Åtgärd Typ av lagringskonto Faktureringskategori
Ange container-ACL Premium-blockblob
Standard generell användning v2
Andra åtgärder
Ange container-ACL Standard generell användning v1 Skrivåtgärder

Mer information om priser för den angivna faktureringskategorin finns i Azure Blob Storage Prissättning.

Se även

Begränsa åtkomsten till containrar och blobar
Delegera åtkomst med en signatur för delad åtkomst
Skapa och använda en signatur för delad åtkomst
Definiera en lagrad åtkomstprincip
Hämta container-ACL
Auktorisera begäranden till Azure Storage
Status- och felkoder
Felkoder för blobtjänsten