권한 만들기
작업은 Create Permission 공유 수준에서 권한(보안 설명자)을 만듭니다. 공유의 파일 및 디렉터리에 대해 만든 보안 설명자를 사용할 수 있습니다. 이 API는 버전 2019-02-02를 기준으로 사용할 수 있습니다.
프로토콜 가용성
| 파일 공유 프로토콜 사용 | 사용 가능 |
|---|---|
| SMB |  |
| NFS |  |
요청
여기에 표시된 대로 요청을 생성할 Create Permission 수 있습니다. HTTPS를 사용하는 것이 좋습니다.
| 메서드 | 요청 URI | HTTP 버전 |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
다음과 같이 요청 URI에 표시된 경로 구성 요소를 사용자 고유의 구성 요소로 바꿉니다.
| 경로 구성 요소 | Description |
|---|---|
myaccount |
사용자 스토리지 계정의 이름입니다. |
myshare |
파일 공유 이름입니다. 이름에는 소문자만 포함될 수 있습니다. |
경로 명명 제한에 대한 자세한 내용은 이름 및 참조 공유, 디렉터리, 파일 및 메타데이터를 참조하세요.
URI 매개 변수
다음과 같이 요청 URI에 추가 매개 변수를 지정할 수 있습니다.
| 매개 변수 | Description |
|---|---|
timeout |
(선택 사항) timeout 매개 변수는 초 단위로 표시됩니다. 자세한 내용은 큐 서비스 작업에 대한 시간 제한 설정을 참조하세요. |
요청 헤더
필수 및 선택적 요청 헤더는 다음 표에 설명되어 있습니다.
| 요청 헤더 | Description |
|---|---|
Authorization |
필수 요소. 권한 부여 체계, 스토리지 계정 이름 및 서명을 지정합니다. 자세한 내용은 Azure Storage에 대한 요청 권한 부여를 참조하세요. |
Date 또는 x-ms-date |
필수 요소. 요청에 대한 UTC(협정 세계시)를 지정합니다. 자세한 내용은 Azure Storage에 대한 요청 권한 부여를 참조하세요. |
x-ms-version |
(선택 사항) 이 요청에 사용할 작업의 버전을 지정합니다. 자세한 내용은 Azure Storage 서비스 버전 관리를 참조하세요. |
x-ms-client-request-id |
(선택 사항) 로깅이 구성될 때 로그에 기록되는 1키비바이트(KiB) 문자 제한으로 클라이언트에서 생성된 불투명 값을 제공합니다. 이 헤더를 사용하여 클라이언트 쪽 활동과 서버가 수신하는 요청의 상관 관계를 지정하는 것이 좋습니다. 자세한 내용은 Azure Files 모니터링을 참조하세요. |
x-ms-file-request-intent |
헤더가 OAuth 토큰을 지정하는 경우 Authorization 필수입니다. 허용되는 값은 입니다 backup. 이 헤더는 헤더를 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action 사용하여 Authorization 권한이 부여된 ID에 할당된 RBAC 정책에 포함되는 경우 또는 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action 를 부여하도록 지정합니다. 버전 2022-11-02 이상에 사용할 수 있습니다. |
요청 본문
SDDL(보안 설명자 정의 언어)의 사용 권한을 설명하는 JSON 문서인 요청 본문을 사용하여 보안 설명자를 만듭니다. SDDL에는 소유자, 그룹 및 DACL(임의 액세스 제어 목록)이 있어야 합니다. 보안 설명자의 제공된 SDDL 문자열 형식에는 도메인 상대 식별자(예: DU, DA 또는 DD)가 없어야 합니다.
{
"Permission": "SDDL"
}
샘플 요청
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
응답
응답에는 HTTP 상태 코드 및 응답 헤더 집합이 포함되어 있습니다.
상태 코드
작업에 성공하면 상태 코드 201(만들어짐)이 반환됩니다.
상태 코드에 대한 자세한 내용은 상태 및 오류 코드를 참조하세요.
응답 헤더
이 작업의 응답에는 다음과 같은 헤더가 포함됩니다. 응답에는 추가 표준 HTTP 헤더도 포함될 수 있습니다. 모든 표준 헤더는 HTTP/1.1 프로토콜 사양을 준수합니다.
| 응답 헤더 | Description |
|---|---|
x-ms-request-id |
만들어진 요청을 고유하게 식별하고 이를 사용하여 요청 문제를 해결할 수 있습니다. |
x-ms-version |
요청을 실행하는 데 사용된 Azure Files 버전을 나타냅니다. |
Date 또는 x-ms-date |
서비스에서 생성되고 응답이 시작된 시간을 나타내는 UTC 날짜/시간 값입니다. |
x-ms-file-permission-key |
만든 권한의 키입니다. |
x-ms-client-request-id |
요청 및 해당 응답의 문제를 해결하는 데 사용할 수 있습니다. 이 헤더의 값 x-ms-client-request-id 은 요청에 있고 값에 표시되는 ASCII 문자가 1,024자 이하인 경우 헤더 값과 같습니다. 헤더가 x-ms-client-request-id 요청에 없으면 응답에 표시되지 않습니다. |
응답 본문
없음
권한 부여
쓰기 및 삭제 권한 부여가 있는 공유 수준 공유 액세스 서명이 있는 계정 소유자 또는 호출자만 이 작업을 호출할 수 있습니다.
설명
도메인 및 도메인에 가입되지 않은 컴퓨터에서 SDDL 형식을 이식할 수 있도록 호출자는 ConvertSecurityDescriptorToStringSecurityDescriptor() Windows 함수를 사용하여 보안 설명자에 대한 기본 SDDL 문자열을 가져올 수 있습니다. 그런 다음 호출자는 다음 표에 나열된 SDDL 표기법을 올바른 SID 값으로 바꿀 수 있습니다.
| 속성 | SDDL 표기법 | SID 값 | Description |
|---|---|---|---|
| Local Administrator | LA | S-1-5-21domain-500 | 시스템 관리자의 사용자 계정입니다. 기본적으로 시스템을 완전히 제어할 수 있는 유일한 사용자 계정입니다. |
| 로컬 게스트 | LG | S-1-5-21domain-501 | 개별 계정이 없는 사용자를 위한 사용자 계정입니다. 이 사용자 계정에는 암호가 필요하지 않습니다. 기본적으로 게스트 계정은 사용하지 않도록 설정됩니다. |
| 인증서 게시자 | CA | S-1-5-21domain-517 | 엔터프라이즈 인증 기관을 실행하는 모든 컴퓨터를 포함하는 글로벌 그룹입니다. 인증서 게시자는 Active Directory에서 사용자 개체에 대한 인증서를 게시할 권한이 있습니다. |
| Domain Admins | DA | S-1-5-21domain-512 | 구성원이 도메인을 관리할 권한이 있는 전역 그룹입니다. 기본적으로 Domain Admins 그룹은 도메인 컨트롤러를 포함하여 도메인에 가입된 모든 컴퓨터에서 Administrators 그룹의 구성원입니다. Domain Admins는 그룹의 구성원이 만든 모든 개체의 기본 소유자입니다. |
| 도메인 컨트롤러 | DD | S-1-5-21domain-516 | 도메인의 모든 도메인 컨트롤러를 포함하는 전역 그룹입니다. 새 도메인 컨트롤러는 기본적으로 이 그룹에 추가됩니다. |
| 도메인 사용자 | DU | S-1-5-21domain-513 | 기본적으로 도메인의 모든 사용자 계정을 포함하는 전역 그룹입니다. 도메인에서 사용자 계정을 만들 때 계정은 기본적으로 이 그룹에 추가됩니다. |
| 도메인 게스트 | DG | S-1-5-21domain-514 | 기본적으로 도메인의 기본 제공 게스트 계정인 멤버가 하나만 있는 전역 그룹입니다. |
| 도메인 컴퓨터 | DC | S-1-5-21domain-515 | 도메인에 가입된 모든 클라이언트 및 서버를 포함하는 전역 그룹입니다. |
| Schema Admins | SA | S-1-5-21root domain-518 | 기본 모드 도메인의 범용 그룹; 혼합 모드 도메인의 전역 그룹입니다. 그룹은 Active Directory에서 스키마를 변경할 권한이 있습니다. 기본적으로 그룹의 유일한 멤버는 포리스트 루트 도메인에 대한 관리자 계정입니다. |
| Enterprise Admins | EA | S-1-5-21root domain-519 | 기본 모드 도메인의 범용 그룹; 혼합 모드 도메인의 전역 그룹입니다. 그룹에는 자식 도메인 추가와 같이 Active Directory에서 포리스트 전체 변경을 할 수 있는 권한이 부여됩니다. 기본적으로 그룹의 유일한 멤버는 포리스트 루트 도메인에 대한 관리자 계정입니다. |
| Group Policy Creator Owners | PA | S-1-5-21domain-520 | Active Directory에서 새 그룹 정책 개체를 만들 수 있는 권한이 있는 전역 그룹입니다. |
| RAS 및 IAS 서버 | RS | S-1-5-21domain-553 | 도메인 로컬 그룹입니다. 기본적으로 이 그룹에는 멤버가 없습니다. 이 그룹의 RAS(원격 액세스 서버) 및 IAS(인터넷 인증 서비스) 서버에는 Active Directory 도메인 로컬 그룹의 사용자 개체에 대한 읽기 계정 제한 및 로그온 정보 읽기 액세스 권한이 있습니다. |
| Enterprise 읽기 전용 도메인 컨트롤러 | ED | S-1-5-21domain-498 | 범용 그룹입니다. 이 그룹의 구성원은 엔터프라이즈의 읽기 전용 도메인 컨트롤러입니다. |
| Read-only Domain Controllers | RO | S-1-5-21domain-521 | 전역 그룹입니다. 이 그룹의 구성원은 도메인의 읽기 전용 도메인 컨트롤러입니다. |