Criar Permissão
A Create Permission operação cria uma permissão (um descritor de segurança) no nível do compartilhamento. Você pode usar o descritor de segurança criado para os arquivos e diretórios no compartilhamento. Essa API está disponível a partir da versão 2019-02-02.
Disponibilidade do protocolo
| Protocolo de compartilhamento de arquivos habilitado | Disponível |
|---|---|
| SMB |  |
| NFS |  |
Solicitação
Você pode construir a solicitação Create Permission conforme mostrado aqui. Recomendamos que você use HTTPS.
| Método | URI da solicitação | Versão HTTP |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
Substitua os componentes de caminho mostrados no URI de solicitação por seus próprios componentes, conforme mostrado aqui:
| Componente Demarcador | Descrição |
|---|---|
myaccount |
O nome da sua conta de armazenamento. |
myshare |
O nome do seu compartilhamento de arquivo. O nome pode conter apenas caracteres minúsculos. |
Para obter informações sobre restrições de nomenclatura de caminho, consulte Compartilhamentos de nome e referência, diretórios, arquivos e metadados.
Parâmetros do URI
Você pode especificar parâmetros adicionais no URI de solicitação, conforme mostrado aqui:
| Parâmetro | Descrição |
|---|---|
timeout |
Opcional. O parâmetro timeout é expresso em segundos. Para obter mais informações, consulte Definir tempos limite para operações de serviço fila. |
Cabeçalhos da solicitação
Os cabeçalhos de solicitação obrigatórios e opcionais são descritos na tabela a seguir:
| Cabeçalho da solicitação | Descrição |
|---|---|
Authorization |
Obrigatórios. Especifica o esquema de autorização, o nome da conta de armazenamento e a assinatura. Para saber mais, confira Autorizar solicitações para o Armazenamento do Azure. |
Date ou x-ms-date |
Obrigatórios. Especifica o UTC (Tempo Universal Coordenado) para a solicitação. Para saber mais, confira Autorizar solicitações para o Armazenamento do Azure. |
x-ms-version |
Opcional. Especifica a versão da operação a ser usada para esta solicitação. Para obter mais informações, consulte Controle de versão para serviços de Armazenamento do Azure. |
x-ms-client-request-id |
Opcional. Fornece um valor opaco gerado pelo cliente com um limite de caracteres kib (1 kibibyte) que é registrado nos logs quando o registro em log é configurado. É altamente recomendável que você use esse cabeçalho para correlacionar atividades do lado do cliente com solicitações recebidas pelo servidor. Para obter mais informações, consulte Monitorar Arquivos do Azure. |
x-ms-file-request-intent |
Obrigatório se Authorization o cabeçalho especificar um token OAuth. O valor aceitável é backup. Esse cabeçalho especifica que o Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action ou Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action deve ser concedido se eles forem incluídos na política RBAC atribuída à identidade autorizada usando o Authorization cabeçalho . Disponível para a versão 2022-11-02 e posterior. |
Corpo da solicitação
Você cria um descritor de segurança usando um corpo da solicitação, que é um documento JSON que descreve a permissão na Linguagem de Definição do Descritor de Segurança (SDDL). O SDDL deve ter um proprietário, um grupo e uma DACL (lista de controle de acesso discricionário). O formato de cadeia de caracteres SDDL fornecido do descritor de segurança não deve ter um identificador relativo de domínio (por exemplo, DU, DA ou DD) nele.
{
"Permission": "SDDL"
}
Solicitação de exemplo
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
Resposta
A resposta inclui um código de status HTTP e um conjunto de cabeçalhos de resposta.
Código de status
Uma operação bem-sucedida retorna o código de status 201 (Criado).
Para obter informações sobre códigos de status, consulte Códigos de status e de erro.
Cabeçalhos de resposta
A resposta para esta operação inclui os cabeçalhos a seguir. A resposta também pode incluir cabeçalhos HTTP padrão adicionais. Todos os cabeçalhos padrão estão em conformidade com a especificação do protocolo HTTP/1.1.
| Cabeçalho de resposta | Descrição |
|---|---|
x-ms-request-id |
Identifica exclusivamente a solicitação que foi feita e você pode usá-la para solucionar problemas da solicitação. |
x-ms-version |
Indica a versão Arquivos do Azure que foi usada para executar a solicitação. |
Date ou x-ms-date |
Um valor de data/hora UTC gerado pelo serviço e que indica a hora em que a resposta foi iniciada. |
x-ms-file-permission-key |
A chave da permissão criada. |
x-ms-client-request-id |
Pode ser usado para solucionar problemas de solicitações e suas respostas correspondentes. O valor desse cabeçalho será igual ao valor do x-ms-client-request-id cabeçalho se ele estiver presente na solicitação e o valor não contiver mais de 1.024 caracteres ASCII visíveis. Se o x-ms-client-request-id cabeçalho não estiver presente na solicitação, ele não estará presente na resposta. |
Corpo da resposta
Nenhum.
Autorização
Somente o proprietário da conta ou um chamador que tenha uma assinatura de acesso compartilhado no nível de compartilhamento com autorização de gravação e exclusão pode chamar essa operação.
Comentários
Para tornar o formato SDDL portátil entre computadores ingressados em domínio e não domínio, o chamador pode usar a função Do Windows ConvertSecurityDescriptorToStringSecurityDescriptor() para obter a cadeia de caracteres SDDL base para o descritor de segurança. Em seguida, o chamador pode substituir a notação SDDL listada na tabela a seguir pelo valor sid correto.
| Nome | Notação SDDL | Valor de SID | Descrição |
|---|---|---|---|
| Administrador Local | LA | S-1-5-21domain-500 | Uma conta de usuário do administrador do sistema. Por padrão, é a única conta de usuário que recebe controle total sobre o sistema. |
| Convidados Locais | LG | S-1-5-21domain-501 | Uma conta de usuário para pessoas que não têm contas individuais. Essa conta de usuário não requer uma senha. Por padrão, a conta convidado está desabilitada. |
| Editores de Certificados | CA | S-1-5-21domain-517 | Um grupo global que inclui todos os computadores que estão executando uma autoridade de certificação corporativa. Os Editores de Certificados estão autorizados a publicar certificados para objetos User no Active Directory. |
| Administradores do domínio | DA | S-1-5-21domain-512 | Um grupo global cujos membros estão autorizados a administrar o domínio. Por padrão, o grupo Administradores de Domínio é membro do grupo Administradores em todos os computadores que ingressaram em um domínio, incluindo os Controladores de Domínio. Administradores de Domínio é o proprietário padrão de qualquer objeto criado por qualquer membro do grupo. |
| Controladores de Domínio | DD | S-1-5-21domain-516 | Um grupo global que inclui todos os Controladores de Domínio no domínio. Os novos controladores de domínio são adicionados a esse grupo por padrão. |
| Usuários do Domínio | DU | S-1-5-21domain-513 | Um grupo global que, por padrão, inclui todas as contas de usuário em um domínio. Quando você cria uma conta de usuário em um domínio, a conta é adicionada a esse grupo por padrão. |
| Convidados do Domínio | DG | S-1-5-21domain-514 | Um grupo global que, por padrão, tem apenas um membro, a conta de convidado interna do domínio. |
| Computadores de Domínio | DC | S-1-5-21domain-515 | Um grupo global que inclui todos os clientes e servidores que ingressaram no domínio. |
| Administradores de esquemas | SA | Domínio S-1-5-21root-518 | Um grupo universal em um domínio de modo nativo; um grupo global em um domínio de modo misto. O grupo está autorizado a fazer alterações de esquema no Active Directory. Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. |
| Administrador corporativo | EA | Domínio S-1-5-21root-519 | Um grupo universal em um domínio de modo nativo; um grupo global em um domínio de modo misto. O grupo está autorizado a fazer alterações em toda a floresta no Active Directory, como a adição de domínios filho. Por padrão, o único membro do grupo é a conta Administrador do domínio raiz da floresta. |
| Proprietários criadores de política de grupo | PA | S-1-5-21domain-520 | Um grupo global autorizado a criar novos objetos Política de Grupo no Active Directory. |
| Servidores RAS e IAS | RS | S-1-5-21domain-553 | Um grupo local de domínio. Por padrão, esse grupo não tem membros. Os servidores RAS (Servidor de Acesso Remoto) e IAS (Serviço de Autenticação da Internet) neste grupo têm restrições de conta de leitura e acesso de informações de logon de leitura a objetos de usuário no grupo local de domínio do Active Directory. |
| Controladores de domínio somente leitura da empresa | ED | S-1-5-21domain-498 | Um grupo universal. Os membros desse grupo são controladores de domínio somente leitura na empresa. |
| Controladores de Domínio somente leitura | RO | S-1-5-21domain-521 | Um grupo global. Os membros desse grupo são controladores de domínio somente leitura no domínio. |