Tambahkan Blob Seal

Tujuan operasi Append Blob Seal ini adalah untuk memungkinkan pengguna dan aplikasi untuk menyegel blob penampan, menandainya sebagai baca-saja. Dokumen ini menguraikan spesifikasi REST API yang diusulkan untuk fitur ini.

Minta

Anda dapat membuat Append Blob Seal permintaan sebagai berikut. HTTPS disarankan. Ganti myaccount dengan nama akun penyimpanan Anda.

URI permintaan metode PUT	Versi HTTP
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

Header

Append Blob Sealmengembalikan header API umum, ETag/LMT (last-modified-time), x-ms-request-id, , x-ms-versioncontent-length, dan .Date Append Blob Seal tidak mengubah ETag/LMT.

Header respons	Nilai	Deskripsi
x-ms-blob-sealed	benar/salah	Opsional. Salah secara default. Jika blob disegel, header ini disertakan dalam respons saat Anda menutup dan mendapatkan properti blob. Header ini akan muncul di GetBlob, GetBlobProperties, AppendBlobSeal, dan ListBlobs untuk blob tambahan.

Parameter kueri

Tidak ada parameter URI tambahan.

Isi permintaan

Tidak ada.

Respons

Respons mencakup kode status HTTP dan daftar header respons.

Kode status

Anda mungkin menerima salah satu kode status berikut:

• 200 (Berhasil): Blob disegel. Panggilan idempotensi dan akan berhasil jika blob sudah disegel.

• 409 (InvalidBlobType): Layanan mengembalikan kode status ini jika panggilan ada di blob halaman atau blob blok yang ada.

• 404 (BlobNotFound): Layanan mengembalikan kode status ini jika panggilan berada pada blob yang tidak ada.

Authorization

Otorisasi diperlukan saat memanggil operasi akses data apa pun di Azure Storage. Anda dapat mengotorisasi operasi seperti yang Append Blob Seal dijelaskan di bawah ini.

Microsoft Entra ID

Azure Storage mendukung penggunaan Microsoft Entra ID untuk mengotorisasi permintaan ke data blob. Dengan Microsoft Entra ID, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada prinsip keamanan. Prinsip keamanan dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola Azure. Prinsip keamanan diautentikasi oleh Microsoft Entra ID untuk mengembalikan token OAuth 2.0. Token kemudian dapat digunakan untuk mengotorisasi permintaan terhadap Blob service.

Untuk mempelajari selengkapnya tentang otorisasi menggunakan Microsoft Entra ID, lihat Mengotorisasi akses ke blob menggunakan Microsoft Entra ID.

Izin

Tercantum di bawah ini adalah tindakan RBAC yang diperlukan bagi pengguna, grup, atau perwakilan layanan Microsoft Entra untuk memanggil Append Blob Seal operasi, dan peran Azure RBAC bawaan paling tidak istimewa yang mencakup tindakan ini:

• Tindakan Azure RBAC:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Peran bawaan yang paling tidak istimewa:Kontributor Data Blob Penyimpanan

Untuk mempelajari selengkapnya tentang menetapkan peran menggunakan Azure RBAC, lihat Menetapkan peran Azure untuk akses ke data blob.

Tanda tangan akses bersama (SAS)

Tanda tangan akses bersama (SAS) menyediakan akses delegasi yang aman ke sumber daya di akun penyimpanan. Dengan SAS, Anda memiliki kontrol terperinci atas bagaimana klien dapat mengakses data. Anda dapat menentukan sumber daya apa yang dapat diakses klien, izin apa yang mereka miliki ke sumber daya tersebut, dan berapa lama SAS valid.

Operasi ini Append Blob Seal mendukung tiga jenis tanda tangan akses bersama: SAS delegasi pengguna, SAS layanan, dan SAS akun.

Sebagai praktik terbaik keamanan, kami sarankan Anda menggunakan kredensial Microsoft Entra daripada kunci akun penyimpanan, yang dapat lebih mudah disusupi. Jika desain aplikasi Anda memerlukan tanda tangan akses bersama, gunakan kredensial Microsoft Entra untuk membuat SAS delegasi pengguna, jika memungkinkan.

Ketika akses Kunci Bersama tidak diizinkan untuk akun penyimpanan, token SAS layanan atau token SAS akun tidak akan diizinkan berdasarkan permintaan ke Blob Storage. Untuk mempelajari lebih lanjut, lihat Memahami bagaimana melarang Kunci Bersama memengaruhi token SAS.

Delegasi pengguna SAS

SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra dan juga oleh izin yang ditentukan untuk SAS.

Memanggil Append Blob Seal operasi menggunakan token SAS yang didelegasikan ke kontainer atau sumber daya blob memerlukan izin Tulis (w) sebagai bagian dari token SAS delegasi pengguna.

Untuk mempelajari selengkapnya tentang SAS delegasi pengguna, lihat Membuat SAS delegasi pengguna.

Layanan SAS

Layanan SAS diamankan dengan kunci akun penyimpanan. SAS layanan mendelegasikan akses ke sumber daya dalam satu layanan Azure Storage, seperti penyimpanan blob.

Memanggil Append Blob Seal operasi menggunakan token SAS yang didelegasikan ke kontainer atau sumber daya blob memerlukan izin Tulis (w) sebagai bagian dari token SAS layanan.

Untuk mempelajari selengkapnya tentang layanan SAS, lihat Membuat layanan SAS.

Akun SAS

Akun SAS diamankan dengan kunci akun penyimpanan. Akun SAS delegasikan akses ke sumber daya di satu atau beberapa layanan penyimpanan. Semua operasi yang tersedia melalui layanan atau delegasi pengguna SAS juga tersedia melalui akun SAS.

Tabel berikut menunjukkan jenis sumber daya yang ditandatangani dan izin yang ditandatangani untuk menentukan saat mendelegasikan akses:

Operasi	Layanan yang ditandatangani	Jenis sumber daya yang ditandatangani	Izin yang ditandatangani
Tambahkan Blob Seal	Blob (b)	Objek (o)	Tulis (w)

Untuk mempelajari selengkapnya tentang akun SAS, lihat Membuat akun SAS.

Kunci Bersama

Operasi ini Append Blob Seal mendukung otorisasi Kunci Bersama. Otorisasi dengan kunci akun tidak disarankan untuk sebagian besar skenario, karena kurang aman.

Microsoft merekomendasikan untuk melarang otorisasi Kunci Bersama untuk akun penyimpanan jika memungkinkan. Untuk informasi selengkapnya, lihat Mencegah otorisasi dengan Kunci Bersama.

Keterangan

Jika blob tambahan memiliki sewa, Anda memerlukan ID sewa untuk menyegel blob.

Setelah menutup blob, Anda masih dapat memperbarui properti, tag indeks blob, dan metadata. Menghapus blob tertutup dengan lembut akan mempertahankan keadaan tertutup. Anda dapat menimpa blob yang disegel.  

Jika Anda mengambil rekam jepret dari blob yang disegel, rekam jepret menyertakan bendera yang disegel. Untuk rekam jepret yang sudah ada di versi baru, Microsoft mengembalikan properti .

Saat Anda menyalin blob yang disegel, bendera yang disegel disebarkan secara default. Header diekspos yang memungkinkan bendera ditimpa.

Elemen XML baru akan ditambahkan ke ListBlob respons, bernama Sealed. Nilainya dapat berupa true atau false.

Jika Anda memanggil AppendBlock pada blob yang sudah disegel, layanan mengembalikan pesan kesalahan yang diperlihatkan dalam tabel berikut. Ini berlaku untuk versi API yang lebih lama.

Kode kesalahan	Kode status HTTP	Pesan pengguna
BlobIsSealed	Konflik (409)	Blob yang ditentukan disegel, dan kontennya tidak dapat dimodifikasi kecuali blob dibuat ulang setelah penghapusan.

Jika Anda memanggil Append Blob Seal blob penambahan yang telah disegel, Anda cukup melihat kode status 200 (Berhasil).

Billing

Permintaan harga dapat berasal dari klien yang menggunakan API Blob Storage, baik langsung melalui Blob Storage REST API, atau dari pustaka klien Azure Storage. Permintaan ini mengumpulkan biaya per transaksi. Jenis transaksi memengaruhi cara akun ditagih. Misalnya, transaksi baca bertambah ke kategori penagihan yang berbeda dari transaksi tulis. Tabel berikut ini memperlihatkan kategori penagihan untuk Append Blob Seal permintaan berdasarkan jenis akun penyimpanan:

Operasi	Jenis akun penyimpanan	Kategori penagihan
Tambahkan Blob Seal	Objek besar biner blok premium Tujuan umum standar v2 Tujuan umum standar v1	Operasi tulis

Untuk mempelajari tentang harga untuk kategori penagihan yang ditentukan, lihat harga Azure Blob Storage.

Lihat juga

Azure Blob Storage kode kesalahan