Set Container ACL

Set Container ACL 操作は、指定されたコンテナーのアクセス許可を設定します。 アクセス許可は、コンテナー内の BLOB がパブリックにアクセス可能かどうかを示します。

バージョン 2009-09-19 以降、コンテナーのアクセス許可には、コンテナー アクセスを管理するための次のオプションが用意されています。

  • 完全なパブリック読み取りアクセス: コンテナーと BLOB のデータは、匿名要求を介して読み取ることができます。 クライアントは匿名要求を介してコンテナー内の BLOB を列挙できますが、ストレージ アカウント内のコンテナーを列挙することはできません。

  • BLOB のみのパブリック読み取りアクセス: このコンテナー内の BLOB データは匿名要求を介して読み取ることができますが、コンテナー データは使用できません。 クライアントは、匿名要求を介してコンテナー内の BLOB を列挙できません。

  • パブリック読み取りアクセスなし: コンテナーと BLOB のデータはアカウント所有者に限り読み取ることができます。

Set Container ACL は、共有アクセス署名で使用する保存されているアクセス ポリシーも設定します。 詳細については、「保存されているアクセス ポリシーの定義」を参照してください。

コンテナーに対するすべてのパブリック アクセスは、共有アクセス署名を介したアクセス同様匿名です。

要求

Set Container ACL 要求の構成は次のとおりです。 HTTPS を使用することをお勧めします。 myaccount をストレージ アカウントの名前に置き換えます。

Method 要求 URI HTTP バージョン
PUT https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl HTTP/1.1

エミュレートされたストレージ サービス要求

エミューレートされたストレージ サービスに対する要求では、エミュレーターのホスト名と BLOB Service ポートを 127.0.0.1:10000 と指定し、その後にエミューレートされたストレージ アカウント名を指定します。

Method 要求 URI HTTP バージョン
PUT http://127.0.0.1:10000/devstoreaccount1/mycontainer?restype=container&comp=acl HTTP/1.1

詳細については、ローカルでの Azure Storage の開発に Azurite エミュレーターを使用する方法に関するページを参照してください。

URI パラメーター

要求 URI には、次の追加パラメーターを指定できます。

パラメーター 説明
timeout 省略可能。 timeout パラメーターは、秒単位で表されます。 詳細については、「 BLOB サービス操作のタイムアウトを設定する」を参照してください。

要求ヘッダー

必須の要求ヘッダーと省略可能な要求ヘッダーを次の表に示します。

要求ヘッダー 説明
Authorization 必須。 承認スキーム、アカウント名、署名を指定します。 詳細については、「Azure Storage への要求を承認する」をご覧ください。
Date または x-ms-date 必須。 要求に対して協定世界時 (UTC) を指定します。 詳細については、「Azure Storage への要求を承認する」をご覧ください。
x-ms-version 省略可能。 この要求に使用する操作のバージョンを指定します。 詳細については、「Azure Storage サービスのバージョン管理」を参照してください。
x-ms-blob-public-access 省略可能。 コンテナー内のデータがパブリックにアクセス可能かどうかと、アクセスのレベルを指定します。 次の値を指定できます。

- container: コンテナーと BLOB データの完全なパブリック読み取りアクセスを指定します。 クライアントは匿名要求を介してコンテナー内の BLOB を列挙できますが、ストレージ アカウント内のコンテナーを列挙することはできません。
- blob: BLOB のパブリック読み取りアクセスを指定します。 このコンテナー内の BLOB データは匿名要求を介して読み取ることができますが、コンテナー データは使用できません。 クライアントは、匿名要求を介してコンテナー内の BLOB を列挙できません。

このヘッダーが要求に含まれていない場合、コンテナー データはアカウント所有者にプライベートです。

Azure Premium Storage アカウント内のコンテナーのパブリック アクセスの設定は許可されていないことに注意してください。
x-ms-lease-id: <ID> オプション、バージョン 2012-02-12 以降。 指定されている場合、 Set Container ACL コンテナーのリースがアクティブで、この ID と一致する場合にのみ成功します。 アクティブなリースがない場合、または ID が一致しない場合は、412 (前提条件に失敗しました) が返されます。
x-ms-client-request-id 省略可能。 ログ記録の構成時にログに記録される 1 kibibyte (KiB) 文字制限を使用して、クライアントによって生成された不透明な値を提供します。 このヘッダーを使用して、クライアント側のアクティビティとサーバーが受信する要求を関連付けるよう強くお勧めします。 詳細については、「Azure Blob Storageの監視」を参照してください。

この操作では、条件ヘッダーを使用して、指定した条件を満たした場合にのみ操作を実行することもできます。 詳細については、「 BLOB サービス操作の条件付きヘッダーを指定する」を参照してください。

要求本文

保存されているアクセス ポリシーを指定するには、Set Container ACL 操作の要求本文で一意識別子とアクセス ポリシーを指定します。

SignedIdentifier 要素には、Id 要素で指定された一意識別子と、AccessPolicy 要素で指定されたアクセス ポリシーの詳細が含まれます。 一意識別子の最大長は 64 文字です。

フィールドと Expiry フィールドは Start UTC 時刻で表され、有効な ISO 8061 形式に準拠している必要があります。 サポートされている ISO 8061 形式は次のとおりです。

  • YYYY-MM-DD
  • YYYY-MM-DDThh:mmTZD
  • YYYY-MM-DDThh:mm:ssTZD
  • YYYY-MM-DDThh:mm:ss.fffffffTZD

これらの形式の日付部分では、YYYY は 4 桁の年表現、MM は 2 桁の月表現、DD は 2 桁の日付表現です。 時間部分では、hh は 24 時間表記の時間表現、mm は 2 桁の分表現、ss は 2 桁の秒表現、fffffff は 7 桁のミリ秒表現です。 時刻指定子は T 文字列の日付と時刻の部分を区切り、タイム ゾーン指定子 TZD はタイム ゾーンを指定します。

<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>unique-64-character-value</Id>  
    <AccessPolicy>  
      <Start>start-time</Start>  
      <Expiry>expiry-time</Expiry>  
      <Permission>abbreviated-permission-list</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

要求のサンプル

Request Syntax:  
PUT https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl HTTP/1.1  
  
Request Headers:  
x-ms-version: 2011-08-18  
x-ms-date: Sun, 25 Sep 2011 00:42:49 GMT  
x-ms-blob-public-access: container  
Authorization: SharedKey myaccount:V47F2tYLS29MmHPhiR8FyiCny9zO5De3kVSF0RYQHmo=  
  
Request Body:  
<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>  
    <AccessPolicy>  
      <Start>2009-09-28T08:49:37.0000000Z</Start>  
      <Expiry>2009-09-29T08:49:37.0000000Z</Expiry>  
      <Permission>rwd</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

Response

応答には、HTTP 状態コードおよび一連の応答ヘッダーが含まれています。

status code

操作に成功すると、状態コード 200 (OK) が返されます。

状態コードの詳細については、「 状態とエラー コード」を参照してください。

応答ヘッダー

この操作の応答には、次のヘッダーが含まれています。 応答に追加の標準 HTTP ヘッダーが含まれる場合もあります。 すべての標準ヘッダーは 、HTTP/1.1 プロトコル仕様に準拠しています

応答ヘッダー 説明
ETag コンテナーの ETag。 要求バージョンが 2011-08-18 以降の場合、ETag 値は引用符で囲まれます。
Last-Modified コンテナーが最後に変更された日時を返します。 日付形式は RFC 1123 に従います。 詳細については、「 ヘッダーの日付/時刻値を表す」を参照してください。

コンテナーまたはそのプロパティやメタデータを変更する操作 (コンテナーのアクセス許可の設定など) を行うと、最終更新時刻が更新されます。 BLOB に対する操作は、コンテナーの最終変更時刻には影響しません。
x-ms-request-id 作成された要求を一意に識別し、要求のトラブルシューティングに使用できます。 詳細については、「API 操作のトラブルシューティング」を参照してください。
x-ms-version 要求の実行に使用された BLOB サービスのバージョンを示します。 このヘッダーはバージョン 2009-09-19 以降で行った要求に対して返されます。
Date サービスによって生成される UTC 日付/時刻値。応答が開始された時刻を示します。
x-ms-client-request-id 要求と対応する応答のトラブルシューティングに使用できます。 このヘッダーの値 x-ms-client-request-id は、要求に存在し、値に 1,024 文字以下の ASCII 文字が含まれている場合、ヘッダーの値と同じです。 ヘッダーが x-ms-client-request-id 要求に存在しない場合、応答には存在しません。

応答のサンプル

Response Status:  
HTTP/1.1 200 OK  
  
Response Headers:  
Transfer-Encoding: chunked  
Date: Sun, 25 Sep 2011 22:42:55 GMT  
ETag: "0x8CB171613397EAB"  
Last-Modified: Sun, 25 Sep 2011 22:42:55 GMT  
x-ms-version: 2011-08-18  
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0  

承認

この操作では Set Container ACL共有キーの承認のみがサポートされます。

注釈

所有者がコンテナーに対するアクセス許可を設定することでコンテナー リソースがパブリック アクセス可能であることを指定したか、コンテナー内のリソースに対して共有アクセス署名を発行していない限り、アカウント所有者だけが特定のコンテナーのリソースにアクセスできます。

コンテナーのアクセス許可を設定すると、既存のアクセス許可が置換されます。 コンテナーのアクセス許可を更新するには、 Get Container ACL を 呼び出して、コンテナーに関連付けられているすべてのアクセス ポリシーをフェッチします。 変更するアクセス ポリシーを変更し、完全なデータ セットを使用して を呼び出 Set Container ACL して更新を実行します。

コンテナー データに対する匿名パブリック アクセスを有効にする

コンテナー データに対する匿名パブリック読み取りアクセスを有効にするには、x-ms-blob-public-access ヘッダーを container または blob に設定して Set Container ACL を呼び出します。 匿名アクセスを無効にするには、x-ms-blob-public-access ヘッダーを指定しないで Set Container ACL を呼び出します。

x-ms-blob-public-accessblob に設定した場合、クライアントは次の操作を匿名で呼び出すことができます。

x-ms-blob-public-accesscontainer に設定した場合、クライアントは次の操作を匿名で呼び出すことができます。

コンテナー レベルのアクセス ポリシーを確立する

格納されているアクセス ポリシーでは、関連付けられている共有アクセス署名の開始時刻、有効期限、およびアクセス許可を指定できます。 コンテナーまたは BLOB リソースへのアクセスを制御する方法に応じて、格納されているアクセス ポリシー内でこれらすべてのパラメーターを指定し、共有アクセス署名の URL からそれらを省略できます。 そうすることで、関連付けられている署名の動作をいつでも変更するか、取り消すことができます。 または、格納されているアクセス ポリシー内に 1 つ以上のアクセス ポリシー パラメーターを指定し、他のパラメーターを URL に指定することもできます。 最後に、URL のすべてのパラメーターを指定できます。 この場合、保存されているアクセス ポリシーを使用して署名を取り消すことができますが、署名の動作を変更することはできません。 詳細については、「保存されているアクセス ポリシーの定義」を参照してください。

共有アクセス署名と格納されているアクセス ポリシーには、署名を承認するために必要なすべてのフィールドを含める必要があります。 必要なフィールドがない場合、要求は失敗します。 同様に、共有アクセス署名 URL と格納されているアクセス ポリシーの両方でフィールドが指定されている場合、要求は状態コード 400 (無効な要求) で失敗します。

1 つのコンテナーに対して、最大で 5 つの個別のアクセス ポリシーをいつでも設定できます。 要求本文で 5 つ以上のアクセス ポリシーが渡された場合、サービスは状態コード 400 (無効な要求) を返します。

コンテナー データが匿名読み取りアクセスに対して使用可能かどうかにかかわらず、共有アクセス署名はコンテナーまたは BLOB に対して発行できます。 共有アクセス署名は、リソースがいつ、どのように、だれに対してアクセス可能かを制御する優れた手段の 1 つです。

注意

コンテナーに格納されているアクセス ポリシーを確立すると、ポリシーが有効になるまでに最大 30 秒かかる場合があります。 この期間中、ポリシーがアクティブになるまで、保存されているアクセス ポリシーに関連付けられている共有アクセス署名が状態コード 403 (禁止) で失敗します。

請求

価格要求は、Blob Storage REST API を介して直接、または Azure Storage クライアント ライブラリを介して Blob Storage API を使用するクライアントから送信できます。 これらの要求では、トランザクションあたりの料金が発生します。 トランザクションの種類は、アカウントの課金方法に影響します。 たとえば、読み取りトランザクションは、書き込みトランザクションとは異なる課金カテゴリに計上されます。 次の表は、ストレージ アカウントの種類に基づく要求の課金カテゴリ Set Container ACL を示しています。

操作 ストレージ アカウントの種類 課金カテゴリ
Set Container ACL Premium ブロック BLOB
Standard 汎用 v2
その他の操作
Set Container ACL Standard 汎用 v1 書き込み操作

指定した課金カテゴリの価格については、「Azure Blob Storage価格」を参照してください。

こちらもご覧ください

コンテナーと BLOB へのアクセスを制限する
共有アクセス署名を使用してアクセスを委任する
Shared Access Signature を作成して使用する
保存されているアクセス ポリシーを定義する
コンテナー ACL の取得
Azure Storage への要求を承認する
状態コードとエラー コード
BLOB サービスのエラー コード