Uprawnienie do tworzenia
Operacja Create Permission tworzy uprawnienie (deskryptor zabezpieczeń) na poziomie udziału. Możesz użyć utworzonego deskryptora zabezpieczeń dla plików i katalogów w udziale. Ten interfejs API jest dostępny w wersji 2019-02-02.
Dostępność protokołu
| Włączony protokół udziału plików | Dostępne |
|---|---|
| SMB |  |
| NFS |  |
Żądanie
Żądanie można skonstruować Create Permission , jak pokazano tutaj. Zalecamy korzystanie z protokołu HTTPS.
| Metoda | Identyfikator URI żądania | Wersja PROTOKOŁU HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Zastąp składniki ścieżki wyświetlane w identyfikatorze URI żądania własnymi składnikami, jak pokazano poniżej:
| Składnik ścieżki | Opis |
|---|---|
myaccount |
Nazwa konta magazynu. |
myshare |
Nazwa udziału plików. Nazwa może zawierać tylko małe litery. |
Aby uzyskać informacje o ograniczeniach nazewnictwa ścieżek, zobacz Nazwy i udziały referencyjne, katalogi, pliki i metadane.
Parametry identyfikatora URI
Możesz określić dodatkowe parametry dla identyfikatora URI żądania, jak pokazano tutaj:
| Parametr | Opis |
|---|---|
timeout |
Opcjonalny. Parametr jest wyrażony timeout w sekundach. Aby uzyskać więcej informacji, zobacz Ustawianie limitów czasu dla operacji usługi kolejki. |
Nagłówki żądań
Wymagane i opcjonalne nagłówki żądań zostały opisane w poniższej tabeli:
| Nagłówek żądania | Opis |
|---|---|
Authorization |
Wymagane. Określa schemat autoryzacji, nazwę konta magazynu i podpis. Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage. |
Date lub x-ms-date |
Wymagane. Określa dla żądania godzinę w formacie uniwersalnego czasu koordynowanego (UTC). Aby uzyskać więcej informacji, zobacz Autoryzowanie żądań do usługi Azure Storage. |
x-ms-version |
Opcjonalny. Określa wersję operacji do użycia dla tego żądania. Aby uzyskać więcej informacji, zobacz Przechowywanie wersji dla usług Azure Storage. |
x-ms-client-request-id |
Opcjonalny. Zapewnia nieprzezroczystą wartość wygenerowaną przez klienta z limitem znaków 1-kibibyte (KiB) rejestrowanym w dziennikach podczas konfigurowania rejestrowania. Zdecydowanie zalecamy używanie tego nagłówka do korelowania działań po stronie klienta z żądaniami odbieranymi przez serwer. Aby uzyskać więcej informacji, zobacz Monitorowanie Azure Files. |
x-ms-file-request-intent |
Wymagane, jeśli Authorization nagłówek określa token OAuth. Akceptowalna wartość to backup. Ten nagłówek określa, czy Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action element lub Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action ma zostać przyznany, jeśli są one uwzględnione w zasadach RBAC przypisanych do tożsamości, która jest autoryzowana przy użyciu nagłówka Authorization . Dostępne dla wersji 2022-11-02 lub nowszej. |
Treść żądania
Deskryptor zabezpieczeń jest tworzony przy użyciu treści żądania, czyli dokumentu JSON opisującego uprawnienia w języku SDDL (Security Descriptor Definition Language). Język SDDL musi mieć właściciela, grupę i uznaniową listę kontroli dostępu (DACL). Podany format ciągu SDDL deskryptora zabezpieczeń nie powinien mieć identyfikatora względnego domeny (na przykład DU, DA lub DD).
{
"Permission": "SDDL"
}
Przykładowe żądanie
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Reakcja
Odpowiedź zawiera kod stanu HTTP i zestaw nagłówków odpowiedzi.
Kod stanu
Pomyślna operacja zwraca kod stanu 201 (Utworzony).
Aby uzyskać informacje o kodach stanu, zobacz Kody stanu i błędów.
Nagłówki odpowiedzi
Odpowiedź na tę operację zawiera następujące nagłówki. Odpowiedź może również zawierać dodatkowe standardowe nagłówki HTTP. Wszystkie standardowe nagłówki są zgodne ze specyfikacją protokołu HTTP/1.1.
| Nagłówek odpowiedzi | Opis |
|---|---|
x-ms-request-id |
Unikatowo identyfikuje żądanie, które zostało wykonane, i można go użyć do rozwiązywania problemów z żądaniem. |
x-ms-version |
Wskazuje Azure Files wersję, która została użyta do wykonania żądania. |
Date lub x-ms-date |
Wartość daty/godziny UTC wygenerowana przez usługę i wskazująca godzinę zainicjowania odpowiedzi. |
x-ms-file-permission-key |
Klucz utworzonego uprawnienia. |
x-ms-client-request-id |
Może służyć do rozwiązywania problemów z żądaniami i odpowiadającymi im odpowiedziami. Wartość tego nagłówka jest równa wartości x-ms-client-request-id nagłówka, jeśli jest obecna w żądaniu, a wartość zawiera nie więcej niż 1024 widoczne znaki ASCII. x-ms-client-request-id Jeśli nagłówek nie jest obecny w żądaniu, nie jest obecny w odpowiedzi. |
Treść odpowiedzi
Brak.
Autoryzacja
Tę operację może wywołać tylko właściciel konta lub obiekt wywołujący, który ma sygnaturę dostępu współdzielonego na poziomie udziału z autoryzacją zapisu i usuwania.
Uwagi
Aby format SDDL był przenośny na maszynach domenowych i nieprzyłączonych do domeny, wywołujący może użyć funkcji ConvertSecurityDescriptorToStringSecurityDescriptor() systemu Windows, aby uzyskać podstawowy ciąg SDDL deskryptora zabezpieczeń. Obiekt wywołujący może następnie zastąpić notację SDDL wymienioną w poniższej tabeli poprawną wartością identyfikatora SID.
| Nazwa | Notacja SDDL | Wartość identyfikatora SID | Opis |
|---|---|---|---|
| Administrator lokalny | LA | S-1-5-21domain-500 | Konto użytkownika administratora systemu. Domyślnie jest to jedyne konto użytkownika, które ma pełną kontrolę nad systemem. |
| Goście lokalni | LG | S-1-5-21domain-501 | Konto użytkownika dla osób, które nie mają indywidualnych kont. To konto użytkownika nie wymaga hasła. Domyślnie konto gościa jest wyłączone. |
| Wydawcy certyfikatów | CA | S-1-5-21domain-517 | Grupa globalna obejmująca wszystkie komputery z uruchomionym urzędem certyfikacji przedsiębiorstwa. Wydawcy certyfikatów są autoryzowani do publikowania certyfikatów dla obiektów użytkownika w usłudze Active Directory. |
| Administratorzy domeny | DA | S-1-5-21domain-512 | Grupa globalna, której członkowie są upoważnieni do administrowania domeną. Domyślnie grupa Administratorzy domeny jest członkiem grupy Administratorzy na wszystkich komputerach, które dołączyły do domeny, w tym kontrolerów domeny. Administratorzy domeny są domyślnym właścicielem dowolnego obiektu utworzonego przez dowolnego członka grupy. |
| Kontrolery domeny | DD | S-1-5-21domain-516 | Grupa globalna obejmująca wszystkie kontrolery domeny w domenie. Nowe kontrolery domeny są domyślnie dodawane do tej grupy. |
| Użytkownicy domeny | DU | S-1-5-21domain-513 | Grupa globalna, która domyślnie zawiera wszystkie konta użytkowników w domenie. Podczas tworzenia konta użytkownika w domenie konto jest domyślnie dodawane do tej grupy. |
| Goście domeny | DG | S-1-5-21domain-514 | Grupa globalna, która domyślnie ma tylko jednego członka, wbudowanego konta gościa domeny. |
| Komputery domeny | DC | S-1-5-21domain-515 | Grupa globalna obejmująca wszystkich klientów i serwerów, które dołączyły do domeny. |
| Administratorzy schematu | SA | S-1-5-21root domain-518 | Grupa uniwersalna w domenie trybu natywnego; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian schematu w usłudze Active Directory. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu. |
| Enterprise Admins | EA | S-1-5-21root domain-519 | Grupa uniwersalna w domenie trybu natywnego; grupa globalna w domenie trybu mieszanego. Grupa jest autoryzowana do wprowadzania zmian w całej lesie w usłudze Active Directory, takich jak dodawanie domen podrzędnych. Domyślnie jedynym członkiem grupy jest konto administratora domeny głównej lasu. |
| Twórcy-właściciele zasad grupy | PA | S-1-5-21domain-520 | Grupa globalna, która jest autoryzowana do tworzenia nowych obiektów zasady grupy w usłudze Active Directory. |
| Serwery RAS i IAS | RS | S-1-5-21domain-553 | Grupa lokalna domeny. Domyślnie ta grupa nie ma członków. Serwery serwera dostępu zdalnego (RAS) i usług uwierzytelniania internetowego (IAS) w tej grupie mają ograniczenia konta odczytu i dostęp do informacji logowania do obiektów użytkownika w grupie lokalnej domeny usługi Active Directory. |
| Kontrolery domeny tylko do odczytu przedsiębiorstwa | RED | S-1-5-21domain-498 | Grupa uniwersalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w przedsiębiorstwie. |
| Kontrolery domeny tylko do odczytu | RO | S-1-5-21domain-521 | Grupa globalna. Członkowie tej grupy są kontrolerami domeny tylko do odczytu w domenie. |