Créer une autorisation

L’opération Create Permission crée une autorisation (descripteur de sécurité) au niveau du partage. Vous pouvez utiliser le descripteur de sécurité créé pour les fichiers et répertoires du partage. Cette API est disponible à partir de la version 2019-02-02.

Disponibilité du protocole

Protocole de partage de fichiers activé Disponible
SMB Oui
NFS Aucun

Demander

Vous pouvez construire la requête Create Permission comme indiqué ici. Nous vous recommandons d’utiliser HTTPS.

Méthode URI de requête Version HTTP
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1

Remplacez les composants de chemin d’accès indiqués dans l’URI de requête par vos propres composants, comme indiqué ici :

Composant Path Description
myaccount Nom de votre compte de stockage.
myshare Nom de votre partage de fichiers. Le nom ne peut contenir que des caractères minuscules.

Pour plus d’informations sur les restrictions de nommage de chemin d’accès, consultez partages de noms et de référence, répertoires, fichiers et métadonnées.

Paramètres d’URI

Vous pouvez spécifier des paramètres supplémentaires sur l’URI de requête, comme indiqué ici :

Paramètre Description
timeout Optionnel. Le paramètre timeout est exprimé en secondes. Pour plus d’informations, consultez Définir des délais d’attente pour les opérations de service de file d’attente.

En-têtes de requête

Les en-têtes de requête obligatoires et facultatifs sont décrits dans le tableau suivant :

En-tête de requête Description
Authorization Obligatoire. Spécifie le schéma d’autorisation, le nom du compte de stockage et la signature. Pour plus d’informations, consultez Autoriser les demandes vers le stockage Azure.
Date ou x-ms-date Obligatoire. Spécifie le temps universel coordonné (UTC) de la requête. Pour plus d’informations, consultez Autoriser les demandes vers le stockage Azure.
x-ms-version Optionnel. Spécifie la version de l’opération à utiliser pour cette requête. Pour plus d’informations, consultez Contrôle de version pour les services stockage Azure.
x-ms-client-request-id Optionnel. Fournit une valeur opaque générée par le client avec une limite de caractères de 1 kibioctet (KiB) enregistrée dans les journaux lors de la configuration de la journalisation. Nous vous recommandons vivement d’utiliser cet en-tête pour mettre en corrélation les activités côté client avec les demandes reçues par le serveur. Pour plus d’informations, consultez Monitor Azure Files.
x-ms-file-request-intent Obligatoire si Authorization en-tête spécifie un jeton OAuth. La valeur acceptable est backup. Cet en-tête spécifie que les Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action ou Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action doivent être accordés s’ils sont inclus dans la stratégie RBAC affectée à l’identité autorisée à l’aide de l’en-tête Authorization. Disponible pour la version 2022-11-02 et ultérieure.

Corps de la demande

Vous créez un descripteur de sécurité en plaçant un objet JSON dans le corps de la demande. L’objet JSON peut avoir les champs suivants :

Clé JSON Description
permission Obligatoire. Autorisation dans le Security Descriptor Definition Language (SDDL) ou (version 2024-11-04 ou ultérieure) au format de descripteur de sécurité binaire en base64 format de descripteur de sécurité binaire. Le descripteur de sécurité doit avoir un propriétaire, un groupe et liste de contrôle d’accès discrétionnaire (DACL).
format Optionnel. Version 2024-11-04 ou ultérieure. Décrit le format de l’autorisation fournie dans permission. S’il est défini, ce champ doit être défini sur "sddl" ou "binary". S’il est omis, la valeur par défaut de "sddl" est utilisée.

Si vous utilisez SDDL, le format de chaîne SDDL du descripteur de sécurité ne doit pas avoir d’identificateur relatif de domaine (par exemple, DU, DA ou DD) dans celui-ci.

{
    "permission": "<SDDL>"
}

Dans la version 2024-11-04 ou ultérieure, vous pouvez éventuellement spécifier explicitement que l’autorisation est au format SDDL :

{
    "format": "sddl",
    "permission": "<SDDL>"
}

Dans la version 2024-11-04 ou ultérieure, vous pouvez également créer une autorisation au format binaire encodé en base 64. Dans ce cas, vous devez spécifier explicitement que le format est "binary".

{
    "format": "binary",
    "permission": "<base64>"
}

Exemple de requête

PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1  

Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=

Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}

Réponse

La réponse inclut un code d’état HTTP et un ensemble d’en-têtes de réponse.

Code d’état

Une opération réussie retourne le code d’état 201 (créé).

Pour plus d’informations sur les codes d’état, consultez Les codes d’état et d’erreur.

En-têtes de réponse

La réponse de cette opération inclut les en-têtes suivants. La réponse peut également inclure des en-têtes HTTP standard supplémentaires. Tous les en-têtes standard sont conformes à la spécification de protocole HTTP/1.1.

En-tête de réponse Description
x-ms-request-id Identifie de manière unique la demande qui a été effectuée et vous pouvez l’utiliser pour résoudre la demande.
x-ms-version Indique la version d’Azure Files utilisée pour exécuter la requête.
Date ou x-ms-date Valeur de date/heure UTC générée par le service et qui indique l’heure à laquelle la réponse a été lancée.
x-ms-file-permission-key Clé de l’autorisation créée.
x-ms-client-request-id Peut être utilisé pour résoudre les demandes et leurs réponses correspondantes. La valeur de cet en-tête est égale à la valeur de l’en-tête x-ms-client-request-id s’il est présent dans la requête et que la valeur ne contient pas plus de 1 024 caractères ASCII visibles. Si l’en-tête x-ms-client-request-id n’est pas présent dans la requête, il n’est pas présent dans la réponse.

Corps de la réponse

Aucun.

Autorisation

Seul le propriétaire du compte ou un appelant disposant d’une signature d’accès partagé au niveau du partage avec une autorisation d’écriture et de suppression peut appeler cette opération.

Remarques

Pour rendre le format SDDL portable sur les machines jointes à un domaine et à un domaine, l’appelant peut utiliser la ConvertSecurityDescriptorToStringSecurityDescriptor fonction Windows pour obtenir la chaîne SDDL de base pour le descripteur de sécurité. L’appelant peut ensuite remplacer la notation SDDL répertoriée dans le tableau suivant par la valeur SID correcte.

Nom Notation SDDL Valeur SID Description
Administrateur local LA S-1-5-21-domain-500 Un compte d’utilisateur pour l’administrateur système. Par défaut, il s’agit du seul compte d’utilisateur qui dispose d’un contrôle total sur le système.
Invités locaux LG S-1-5-21-domain-501 Un compte d’utilisateur pour les personnes qui n’ont pas de comptes individuels. Ce compte d’utilisateur ne nécessite pas de mot de passe. Par défaut, le compte invité est désactivé.
Éditeurs de certificats CA S-1-5-21-domain-517 Groupe global qui inclut tous les ordinateurs exécutant une autorité de certification d’entreprise. Les serveurs de publication de certificats sont autorisés à publier des certificats pour les objets utilisateur dans Active Directory.
Administrateurs de domaine DA S-1-5-21-domain-512 Groupe global dont les membres sont autorisés à administrer le domaine. Par défaut, le groupe Administrateurs du domaine est membre du groupe Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les contrôleurs de domaine. Les administrateurs de domaine sont le propriétaire par défaut de n’importe quel objet créé par n’importe quel membre du groupe.
Contrôleurs de domaine DD S-1-5-21-domain-516 Groupe global qui inclut tous les contrôleurs de domaine dans le domaine. Les nouveaux contrôleurs de domaine sont ajoutés à ce groupe par défaut.
Utilisateurs du domaine DU S-1-5-21-domain-513 Un groupe global qui, par défaut, inclut tous les comptes d’utilisateur d’un domaine. Lorsque vous créez un compte d’utilisateur dans un domaine, le compte est ajouté à ce groupe par défaut.
Invités du domaine DG S-1-5-21-domain-514 Groupe global qui, par défaut, n’a qu’un seul membre, le compte invité intégré du domaine.
Ordinateurs de domaine Courant continu S-1-5-21-domain-515 Groupe global qui inclut tous les clients et serveurs qui ont rejoint le domaine.
Administrateurs de schéma SA Domaine S-1-5-21root-518 Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications de schéma dans Active Directory. Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de forêt.
Administrateurs d’entreprise EA Domaine S-1-5-21root-519 Un groupe universel dans un domaine en mode natif ; un groupe global dans un domaine en mode mixte. Le groupe est autorisé à apporter des modifications à l’échelle de la forêt dans Active Directory, telles que l’ajout de domaines enfants. Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine de forêt.
Propriétaires de créateur de stratégie de groupe PAPA S-1-5-21-domain-520 Groupe global autorisé à créer des objets de stratégie de groupe dans Active Directory.
Serveurs RAS et IAS RS S-1-5-21-domain-553 Un groupe local de domaine. Par défaut, ce groupe n’a aucun membre. Les serveurs du serveur d’accès à distance (RAS) et du service d’authentification Internet (IAS) de ce groupe disposent de restrictions de compte de lecture et d’accès en lecture aux informations d’ouverture de session aux objets utilisateur dans le groupe local du domaine Active Directory.
Contrôleurs de domaine en lecture seule d’entreprise ED S-1-5-21-domain-498 Un groupe universel. Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans l’entreprise.
Contrôleurs de domaine en lecture seule RO S-1-5-21-domain-521 Un groupe global. Les membres de ce groupe sont des contrôleurs de domaine en lecture seule dans le domaine.