附加 Blob 密封

作業的目的是 Append Blob Seal 要允許使用者和應用程式密封附加 Blob，並將其標示為唯讀。 本檔概述此功能的建議 REST API 規格。

要求

您可以依照下列方式建構 Append Blob Seal 要求。 建議使用 HTTPS。 使用您的儲存體帳戶名稱取代 myaccount。

PUT 方法要求 URI	HTTP 版本
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

標題

Append Blob Seal 會傳回常見的 API 標頭， ETag/LMT (上次修改的時間) 、 x-ms-request-id、、 x-ms-version、 content-length和 Date。 Append Blob Seal 不會變更 ETag/LMT。

回應標頭	值	描述
x-ms-blob-sealed	true/false	選擇性。 預設為 False。 如果 Blob 已密封，當您密封並取得 Blob 的屬性時，回應中會包含此標頭。 此標頭應該會出現在 GetBlob、 GetBlobProperties、 AppendBlobSeal和 ListBlobs 中，以供附加 Blob 使用。

查詢參數

沒有其他 URI 參數。

要求本文

無。

回應

回應包含 HTTP 狀態代碼和回應標頭清單。

狀態碼

您可能會收到下列任何狀態代碼：

• 200 (成功) ：Blob 已密封。 呼叫是等冪的，如果 Blob 已經密封，就會成功。

• 409 (InvalidBlobType) ：如果呼叫位於現有的分頁 Blob 或區塊 Blob 上，服務會傳回此狀態代碼。

• 404 (BlobNotFound) ：如果呼叫位於不存在的 Blob 上，服務會傳回此狀態代碼。

授權

在 Azure 記憶體中呼叫任何數據存取作業時，需要授權。 您可以授權 Append Blob Seal 作業，如下所示。

Microsoft Entra 識別碼

Azure 記憶體支援使用 Microsoft Entra ID 來授權 Blob 數據的要求。 使用 Microsoft Entra ID，您可以使用 Azure 角色型存取控制 (Azure RBAC) ，將許可權授與安全性主體。 安全性主體可能是使用者、群組、應用程式服務主體或 Azure 受控識別。 安全性主體是由 Microsoft Entra ID 驗證，以傳回 OAuth 2.0 令牌。 權杖接著可以用來授權對 Blob 服務的要求。

若要深入瞭解使用 Microsoft Entra ID 授權，請參閱使用 Microsoft Entra ID 授權 Blob 的存取權。

權限

以下是 Microsoft Entra 使用者、群組或服務主體呼叫Append Blob Seal作業所需的 RBAC 動作，以及包含此動作的最低特殊許可權 Azure RBAC 角色：

• Azure RBAC 動作：Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• 最低特殊許可權內建角色：記憶體 Blob 數據參與者

若要深入瞭解如何使用 Azure RBAC 指派角色，請參閱 指派 Azure 角色以存取 Blob 數據。

共用存取簽章 (SAS)

(SAS) 共用存取簽章可提供記憶體帳戶中資源的安全委派存取權。 透過 SAS，您可以細微控制用戶端如何存取數據。 您可以指定用戶端可以存取的資源、這些資源的許可權，以及 SAS 的有效時間。

此 Append Blob Seal 作業支援三種類型的共用存取簽章： 使用者委派 SAS、 服務 SAS 和 帳戶 SAS。

作為安全性最佳做法，我們建議您使用 Microsoft Entra 認證，而不是記憶體帳戶密鑰，這更容易遭到入侵。 如果您的應用程式設計需要共用存取簽章，請盡可能使用 Microsoft Entra 認證來建立使用者委派 SAS。

當記憶體帳戶不允許共用密鑰存取時，對 Blob 記憶體的要求不允許服務 SAS 令牌或帳戶 SAS 令牌。 若要深入瞭解，請參閱 瞭解不允許共用密鑰如何影響 SAS 令牌。

使用者委派 SAS

使用者委派 SAS 受到 Microsoft Entra 認證保護，也受到針對 SAS 指定的許可權。

Append Blob Seal使用委派給容器或 Blob 資源的 SAS 令牌呼叫作業，需要以使用者委派 SAS 令牌的一部分作為使用者委派 SAS 令牌的寫入 (w) 許可權。

若要深入瞭解使用者委派 SAS，請參閱 建立使用者委派 SAS。

服務 SAS

服務 SAS 會使用儲存體帳戶金鑰加以保護。 服務 SAS 會將存取權委派給單一 Azure 記憶體服務中的資源，例如 Blob 記憶體。

Append Blob Seal使用委派給容器或 Blob 資源的 SAS 令牌呼叫作業時，需要將寫入 (w) 許可權作為服務 SAS 令牌的一部分。

若要深入瞭解服務 SAS，請參閱 建立服務 SAS。

帳戶 SAS

帳戶 SAS 會使用儲存體帳戶金鑰加以保護。 帳戶 SAS 則將存取權限委派給一或多個儲存體服務的資源。 所有作業皆可透過服務 SAS 或使用者委派 SAS 取得，也可透過帳戶 SAS 取得。

下表指出委派存取權時所要指定的已簽署資源類型和已簽署許可權：

作業	已簽署的服務	已簽署的資源類型	已簽署的許可權
附加 Blob 密封	Blob (b)	物件 (o)	寫入 (w)

若要深入了解帳戶 SAS，請參閱 建立帳戶 SAS。

共用金鑰

此 Append Blob Seal 作業支援 共用金鑰授權。 不建議在大部分情況下使用帳戶密鑰進行授權，因為它較不安全。

Microsoft 建議盡可能不允許記憶體帳戶的共用密鑰授權。 如需詳細資訊，請參閱使用共用金鑰來防止授權。

備註

如果附加 Blob 有租用，您需要租用標識符來密封 Blob。

密封 Blob 之後，您仍然可以更新屬性、Blob 索引標籤和元數據。 虛刪除密封 Blob 會保留密封狀態。 您可以覆寫密封 Blob。  

如果您擷取密封 Blob 的快照集，快照集會包含密封旗標。 針對新版本中的現有快照集，Microsoft 會傳回 屬性。

當您複製密封 Blob 時，預設會傳播密封旗標。 標頭會公開，允許覆寫旗標。

新的 XML 專案將會新增至名為 的 ListBlob 回應 Sealed。 這個值可以是 true 或 false。

如果您在已經密封的 Blob 上呼叫 AppendBlock ，服務會傳回下表所示的錯誤訊息。 這適用於舊版的 API。

錯誤碼	HTTP 狀態碼	使用者訊息
BlobIsSealed	衝突 (409)	指定的 Blob 是密封的，除非刪除之後重新建立 Blob，否則無法修改其內容。

如果您在已密封的附加 Blob 上呼叫 Append Blob Seal ，則只會看到狀態代碼 200 (Success) 。

計費

定價要求可能源自使用 Blob 記憶體 API 的用戶端，無論是直接透過 Blob 記憶體 REST API，還是來自 Azure 記憶體用戶端連結庫。 這些要求會累算每個交易的費用。 交易類型會影響帳戶的收費方式。 例如，讀取交易會累算到與寫入交易不同的計費類別。 下表顯示根據記憶體帳戶類型的要求計費類別 Append Blob Seal ：

作業	儲存體帳戶類型	計費類別
附加 Blob 密封	進階區塊 Blob 標準一般用途 v2 標準一般用途 v1	寫入作業

若要瞭解指定計費類別的定價，請參閱 Azure Blob 儲存體 定價。

另請參閱

Azure Blob 儲存體 錯誤碼