Anexar Selo de Blob

A finalidade da Append Blob Seal operação é permitir que usuários e aplicativos selem blobs de acréscimo, marcando-os como somente leitura. Este documento descreve as especificações da API REST propostas para esse recurso.

Solicitação

Você pode construir a solicitação da Append Blob Seal seguinte maneira. HTTPS é recomendado. Substitua myaccount com o nome da sua conta de armazenamento.

URI de solicitação do método PUT	Versão HTTP
https://myaccount.blob.core.windows.net/mycontainer/myblob?comp=seal	HTTP/1.1

Cabeçalhos

Append Blob Sealretorna cabeçalhos de API comuns , ETag/LMT (hora da última modificação), x-ms-request-id, x-ms-version, content-lengthe .Date Append Blob Seal não altera o ETag/LMT.

Cabeçalho de resposta	Valor	Descrição
x-ms-blob-sealed	true/false	Opcional. Falso por padrão. Se o blob estiver lacrado, esse cabeçalho será incluído na resposta quando você selar e obter as propriedades de um blob. Esse cabeçalho deve aparecer em GetBlob, GetBlobProperties, AppendBlobSeale ListBlobs para blobs de acréscimo.

Parâmetros de consulta

Nenhum parâmetro de URI adicional.

Corpo da solicitação

Nenhum.

Resposta

A resposta inclui um código de status HTTP e uma lista de cabeçalhos de resposta.

Código de status

Você pode receber qualquer um dos seguintes códigos de status:

• 200 (Êxito): o blob está lacrado. A chamada é idempotente e terá êxito se o blob já estiver lacrado.

• 409 (InvalidBlobType): o serviço retornará esse código status se a chamada estiver em um blob de páginas ou blob de blocos existente.

• 404 (BlobNotFound): o serviço retornará esse código status se a chamada estiver em um blob inexistente.

Autorização

A autorização é necessária ao chamar qualquer operação de acesso a dados no Armazenamento do Azure. Você pode autorizar a Append Blob Seal operação conforme descrito abaixo.

Microsoft Entra ID

O Armazenamento do Azure dá suporte ao uso de Microsoft Entra ID para autorizar solicitações para dados de blob. Com Microsoft Entra ID, você pode usar o RBAC (controle de acesso baseado em função) do Azure para conceder permissões a uma entidade de segurança. A entidade de segurança pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada do Azure. A entidade de segurança é autenticada por Microsoft Entra ID para retornar um token OAuth 2.0. Em seguida, o token pode ser usado para autorizar uma solicitação no serviço de Blob.

Para saber mais sobre a autorização usando Microsoft Entra ID, consulte Autorizar o acesso a blobs usando Microsoft Entra ID.

Permissões

Veja abaixo a ação RBAC necessária para que um usuário, grupo ou entidade de serviço Microsoft Entra chame a Append Blob Seal operação e a função rbac interna do Azure com privilégios mínimos que inclua esta ação:

• Ação rbac do Azure:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
• Função interna com privilégios mínimos:Colaborador de Dados de Blob de Armazenamento

Para saber mais sobre como atribuir funções usando o RBAC do Azure, confira Atribuir uma função do Azure para acesso aos dados de blob.

SAS (assinaturas de acesso compartilhado)

Uma SAS (assinatura de acesso compartilhado) fornece acesso delegado seguro aos recursos em uma conta de armazenamento. Com uma SAS, você tem controle granular sobre como um cliente pode acessar dados. Você pode especificar qual recurso o cliente pode acessar, quais permissões eles têm para esses recursos e por quanto tempo a SAS é válida.

A Append Blob Seal operação dá suporte a três tipos de assinaturas de acesso compartilhado: SAS de delegação de usuário, SAS de serviço e SAS de conta.

Como prática recomendada de segurança, recomendamos que você use Microsoft Entra credenciais em vez da chave de conta de armazenamento, que pode ser comprometida com mais facilidade. Se o design do aplicativo exigir assinaturas de acesso compartilhado, use Microsoft Entra credenciais para criar uma SAS de delegação de usuário, quando possível.

Quando o acesso à Chave Compartilhada não for permitido para a conta de armazenamento, um token SAS de serviço ou um token SAS da conta não será permitido em uma solicitação para o Armazenamento de Blobs. Para saber mais, confira Entender como a não permissão da Chave Compartilhada afeta os tokens SAS.

SAS de delegação do usuário

Uma SAS de delegação de usuário é protegida com Microsoft Entra credenciais e também pelas permissões especificadas para a SAS.

Chamar a Append Blob Seal operação usando um token SAS delegado a um contêiner ou recurso de blob requer a permissão Gravar (w) como parte do token SAS de delegação do usuário.

Para saber mais sobre a SAS de delegação de usuário, consulte Criar uma SAS de delegação de usuário.

SAS de serviço

Uma SAS de serviço é protegida com a chave da conta de armazenamento. Uma SAS de serviço delega acesso a um recurso em um único serviço de Armazenamento do Azure, como o armazenamento de blobs.

Chamar a Append Blob Seal operação usando um token SAS delegado a um contêiner ou recurso de blob requer a permissão Gravar (w) como parte do token SAS de serviço.

Para saber mais sobre a SAS de serviço, consulte Criar uma SAS de serviço.

SAS de Conta

Uma SAS de conta é protegida com a chave da conta de armazenamento. Uma SAS de conta delega acesso a recursos em um ou mais dos serviços de armazenamento. Todas as operações disponíveis através de uma SAS de serviço ou de delegação do usuário também estão disponíveis por meio de uma SAS de conta.

A tabela a seguir indica o tipo de recurso assinado e as permissões assinadas a serem especificadas ao delegar acesso:

Operação	Serviço assinado	Tipo de recurso assinado	Permissão assinada
Anexar Selo de Blob	Blob (b)	Objeto (o)	Gravação (w)

Para saber mais sobre a SAS da conta, consulte Criar uma SAS de conta.

Chave compartilhada

A Append Blob Seal operação dá suporte à autorização de Chave Compartilhada. A autorização com chaves de conta não é recomendada para a maioria dos cenários, pois é menos segura.

A Microsoft recomenda não permitir a autorização de Chave Compartilhada para a conta de armazenamento quando possível. Para obter mais informações, consulte Impedir autorização com chave compartilhada.

Comentários

Se um blob de acréscimo tiver uma concessão, você precisará de uma ID de concessão para selar o blob.

Depois de selar um blob, você ainda poderá atualizar propriedades, marcas de índice de blob e metadados. A exclusão reversível de um blob lacrado preserva o estado lacrado. Você pode substituir blobs lacrados.  

Se você pegar uma instantâneo de um blob lacrado, o instantâneo incluirá o sinalizador lacrado. Para instantâneos existentes na nova versão, a Microsoft retorna a propriedade .

Quando você copia um blob lacrado, o sinalizador lacrado é propagado por padrão. Um cabeçalho é exposto que permite que o sinalizador seja substituído.

Um novo elemento XML será adicionado à ListBlob resposta, chamada Sealed. O valor pode ser true ou false.

Se você chamar AppendBlock em um blob que já está lacrado, o serviço retornará a mensagem de erro mostrada na tabela a seguir. Isso se aplica a versões mais antigas da API.

Código do erro	Código de status HTTP	Mensagem do usuário
BlobIsSealed	Conflito (409)	O blob especificado é selado e seu conteúdo não pode ser modificado, a menos que o blob seja recriado após uma exclusão.

Se você chamar Append Blob Seal em um blob de acréscimo que já foi selado, basta ver um código status 200 (Êxito).

Cobrança

As solicitações de preços podem ser originadas de clientes que usam APIs de Armazenamento de Blobs, diretamente por meio da API REST do Armazenamento de Blobs ou de uma biblioteca de clientes do Armazenamento do Azure. Essas solicitações acumulam encargos por transação. O tipo de transação afeta a forma como a conta é cobrada. Por exemplo, as transações de leitura se acumulam em uma categoria de cobrança diferente das transações de gravação. A tabela a seguir mostra a categoria de cobrança para Append Blob Seal solicitações com base no tipo de conta de armazenamento:

Operação	Tipo de conta de armazenamento	Categoria de cobrança
Anexar Selo de Blob	Blob de blocos Premium Uso geral v2 Standard Uso geral v1 Standard	Operações de gravação

Para saber mais sobre os preços para a categoria de cobrança especificada, consulte Armazenamento de Blobs do Azure Preços.

Confira também

Armazenamento de Blobs do Azure códigos de erro