Définir une stratégie d’accès stockée

Une stratégie d’accès stockée fournit un niveau de contrôle supplémentaire sur les signatures d’accès partagé (SAP) au niveau du service côté serveur. L'établissement d'une stratégie d'accès stockée sert à regrouper des signatures d'accès partagé et à fournir des restrictions supplémentaires pour les signatures liées par la stratégie. Utilisez une stratégie d'accès stockée pour modifier l'heure de début, l'heure d'expiration ou les autorisations d'une signature, ou pour la révoquer après sa publication.

Les ressources de stockage suivantes prennent en charge les stratégies d’accès stockées :

  • Conteneurs d’objets blob
  • Partages de fichiers
  • Files d’attente
  • Tables

Notes

Notez qu'une stratégie d'accès stockée sur un conteneur peut être associée à une signature d'accès partagé qui accorde des autorisations au conteneur lui-même ou aux objets blob qu'il contient. De même, une stratégie d’accès stockée sur un partage de fichiers peut être associée à une signature d’accès partagé accordant des autorisations au partage lui-même ou aux fichiers qu’il contient.

Les stratégies d’accès stockées ne sont pas prises en charge pour la signature d’utilisateur SAS ou la SAP de compte.

Création ou modification d’une stratégie d’accès stockée

La stratégie d'accès d'une signature d'accès partagé comprend l'heure de début, l'heure d'expiration et les autorisations de la signature. Vous pouvez spécifier tous ces paramètres sur l’URI de signature et aucun dans la stratégie d’accès stockée. tout sur la stratégie d’accès stockée et aucun sur l’URI ; ou une combinaison des deux. Toutefois, vous ne pouvez pas spécifier un paramètre donné sur le jeton SAS et la stratégie d’accès stockée.

Pour créer ou modifier une stratégie d’accès stockée, appelez l’opération set ACL pour la ressource (consultez Set Container ACL, Set queueACL, SET table ACLou Set share ACL) avec un corps de demande qui spécifie les termes de la stratégie d’accès. Le corps de la demande inclut un identificateur signé unique de votre choix, comportant jusqu'à 64 caractères, et les paramètres optionnels de la stratégie d'accès, comme suit :

<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>
    <Id>unique-64-char-value</Id>  
    <AccessPolicy>  
      <Start>start-time</Start>  
      <Expiry>expiry-time</Expiry>  
      <Permission>abbreviated-permission-list</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  

Un maximum de cinq stratégies d’accès peuvent être définies sur un conteneur, une table, une file d’attente ou un partage à un moment donné. Chaque champ SignedIdentifier, avec son champ Id unique, correspond à une seule stratégie d'accès. Si vous tentez de définir plus de cinq stratégies d'accès simultanément, le service renvoie le code d'état 400 (Demande incorrecte).

Notes

Lorsque vous établissez une stratégie d’accès stockée sur un conteneur, une table, une file d’attente ou un partage, la prise en compte peut prendre jusqu’à 30 secondes. Pendant cet intervalle, les demandes effectuées sur une signature d’accès partagé associée à la stratégie d’accès stockée peuvent échouer avec le code d’état 403 (interdit), jusqu’à ce que la stratégie d’accès devienne active.

Les restrictions de plage d'entités de table (startpk, startrk, endpk, et endrk) ne peuvent pas être spécifiées dans une stratégie d'accès stockée.

Modification ou révocation d’une stratégie d’accès stockée

Pour modifier les paramètres de la stratégie d'accès stockée, appelez l'opération de liste de contrôle d'accès pour le type de ressource et remplacer la stratégie existante en spécifiant une nouvelle heure de début, la durée d'expiration, ou un jeu d'autorisations. Par exemple, si votre stratégie existante accorde des autorisations de lecture et d'écriture sur une ressource, modifiez-la afin d'accorder uniquement des autorisations de lecture pour toutes les demandes futures. Dans ce cas, l'identificateur signé de la nouvelle stratégie, comme spécifié par le champ ID, est identique à l'identificateur signé de la stratégie que vous renouvelez.

Pour révoquer une stratégie d’accès stockée, vous pouvez la supprimer, la renommer en modifiant l’identificateur signé ou définir le délai d’expiration sur une valeur dans le passé. La modification de l'identificateur signé désactive les associations entre les signatures existantes et la stratégie d'accès stockée. La modification de l’heure d’expiration en valeur dans le passé provoque l’expiration des signatures associées. La suppression ou la modification de la stratégie d’accès stockée affecte immédiatement toutes les signatures d’accès partagé qui lui sont associées.

Pour supprimer une stratégie d’accès unique, appelez l’opération de la ressource Set ACL , en passant l’ensemble des identificateurs signés que vous souhaitez conserver sur le conteneur. Pour supprimer toutes les stratégies d'accès de la ressource, appelez l'opération Set ACL avec un corps de demande vide.

Voir aussi