Définir une stratégie d’accès stockée
Une stratégie d’accès stockée fournit un niveau supplémentaire de contrôle sur les signatures d’accès partagé au niveau du service côté serveur. L'établissement d'une stratégie d'accès stockée sert à regrouper des signatures d'accès partagé et à fournir des restrictions supplémentaires pour les signatures liées par la stratégie.
Utilisez une stratégie d'accès stockée pour modifier l'heure de début, l'heure d'expiration ou les autorisations d'une signature. Vous pouvez également utiliser une stratégie d'accès stocké pour révoquer une signature après sa délivrance.
Les ressources de stockage suivantes prennent en charge les stratégies d’accès stockées :
- Conteneurs d’objets blob
- Partages de fichiers
- Files d’attente
- Tables
Notes
Une stratégie d’accès stockée sur un conteneur peut être associée à une signature d’accès partagé qui accorde des autorisations au conteneur lui-même ou aux objets blob qu’il contient. De même, une stratégie d’accès stockée sur un partage de fichiers peut être associée à une signature d’accès partagé qui accorde des autorisations au partage lui-même ou aux fichiers qu’il contient.
Les stratégies d’accès stockées ne sont pas prises en charge pour les SAP de délégation d’utilisateur ou les SAP de compte.
Créer ou modifier une stratégie d’accès stockée
La stratégie d'accès d'une signature d'accès partagé comprend l'heure de début, l'heure d'expiration et les autorisations de la signature. Vous pouvez spécifier l’une des options suivantes ou les combiner :
- Tous ces paramètres sur l’URI de signature et aucun sur la stratégie d’accès stockée
- Tous ces paramètres sur la stratégie d’accès stockée et aucun sur l’URI
Toutefois, vous ne pouvez pas spécifier de paramètre sur le jeton SAP et la stratégie d’accès stocké.
Pour créer ou modifier une stratégie d’accès stockée, appelez l’opération Set ACL pour la ressource (consultez Set Container ACL, Set Queue ACL, Set Table ACL ou Set Share ACL) avec un corps de la demande qui spécifie les termes de la stratégie d’accès. Le corps de la demande comprend un identificateur signé unique de votre choix, d’une longueur maximale de 64 caractères. Le corps de la demande inclut également les paramètres facultatifs de la stratégie d’accès, comme suit :
<?xml version="1.0" encoding="utf-8"?>
<SignedIdentifiers>
<SignedIdentifier>
<Id>unique-64-char-value</Id>
<AccessPolicy>
<Start>start-time</Start>
<Expiry>expiry-time</Expiry>
<Permission>abbreviated-permission-list</Permission>
</AccessPolicy>
</SignedIdentifier>
</SignedIdentifiers>
Vous pouvez définir un maximum de cinq stratégies d’accès sur un conteneur, une table, une file d’attente ou un partage à la fois. Chaque champ SignedIdentifier, avec son champ Id unique, correspond à une seule stratégie d'accès. Si vous essayez de définir plus de cinq stratégies d’accès à la fois, le service retourne status code 400 (requête incorrecte).
Notes
Lorsque vous créez ou mettez à jour une stratégie d’accès stockée sur un conteneur, une table, une file d’attente ou un partage, la modification peut prendre jusqu’à 30 secondes. Pendant cet intervalle, les requêtes relatives à une signature d’accès partagé associée à la stratégie d’accès stockée peuvent échouer avec status code 403 (Interdit), jusqu’à ce que la stratégie d’accès soit active.
Vous ne pouvez pas spécifier de restrictions de plage pour les entités de table (startpk, , startrkendpket endrk) dans une stratégie d’accès stockée.
Modifier ou révoquer une stratégie d’accès stockée
Pour modifier les paramètres d’une stratégie d’accès stockée, vous pouvez appeler l’opération de liste de contrôle d’accès (ACL) pour le type de ressource afin de remplacer la stratégie existante. Dans cette opération, spécifiez une nouvelle heure de début, une heure d’expiration ou un nouvel ensemble d’autorisations.
Par exemple, si votre stratégie existante accorde des autorisations de lecture et d'écriture sur une ressource, modifiez-la afin d'accorder uniquement des autorisations de lecture pour toutes les demandes futures. Dans ce cas, l’identificateur signé de la nouvelle stratégie, tel que spécifié par le ID champ, serait identique à l’identificateur signé de la stratégie que vous remplacez.
Pour révoquer une stratégie d’accès stockée, vous pouvez la supprimer, la renommer en modifiant l’identificateur signé ou définir le délai d’expiration sur une valeur dans le passé. La modification de l'identificateur signé désactive les associations entre les signatures existantes et la stratégie d'accès stockée. La définition de l’heure d’expiration sur valeur dans le passé provoque l’expiration des signatures associées. La suppression ou la modification de la stratégie d'accès stockée affecte immédiatement toutes les signatures d'accès partagé qui lui sont associées.
Pour supprimer une stratégie d’accès unique, appelez l’opération de la Set ACL ressource. Transmettez le jeu d’identificateurs signés que vous souhaitez conserver sur le conteneur. Pour supprimer toutes les stratégies d’accès de la ressource, appelez l’opération Set ACL avec un corps de demande vide.