Set Container ACL

A operação Set Container ACL define as permissões para o contêiner especificado. As permissões indicam se os blobs de um contêiner podem ser acessados publicamente.

A partir da versão 2009-09-19, as permissões de contêiner fornecem as seguintes opções para gerenciar o acesso ao contêiner:

  • Acesso de leitura público completo: o contêiner e os dados blob podem ser lidos por meio de solicitação anônima. Os clientes podem enumerar blobs dentro do contêiner por meio de solicitação anônima, mas não podem enumerar contêineres dentro da conta de armazenamento.

  • Acesso de leitura público somente para blobs: Os dados de blob dentro desse contêiner podem ser lidos por meio de solicitação anônima, mas os dados do contêiner não estão disponíveis. Os clientes não podem enumerar blobs dentro do contêiner por meio de solicitação anônima.

  • Sem acesso de leitura público: o contêiner e os dados blob podem ser lidos somente pelo proprietário da conta.

Set Container ACL também define uma política de acesso armazenada para uso com assinaturas de acesso compartilhado. Para obter mais informações, consulte Definir uma política de acesso armazenada.

Todo o acesso público ao contêiner é anônimo, assim como o acesso por uma assinatura de acesso compartilhado.

Solicitação

A solicitação Set Container ACL pode ser criada da seguinte maneira. Recomendamos que você use HTTPS. Substitua myaccount pelo nome da sua conta de armazenamento:

Método URI da solicitação Versão HTTP
PUT https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl HTTP/1.1

Solicitação de serviço de armazenamento emulado

Ao fazer uma solicitação no serviço de armazenamento emulado, especifique o nome de host do emulador e a porta do serviço Blob como 127.0.0.1:10000, seguido pelo nome da conta de armazenamento emulado:

Método URI da solicitação Versão HTTP
PUT http://127.0.0.1:10000/devstoreaccount1/mycontainer?restype=container&comp=acl HTTP/1.1

Para obter mais informações, consulte Usar o emulador Azurite para desenvolvimento local do armazenamento do Azure.

Parâmetros do URI

Você pode especificar os seguintes parâmetros adicionais no URI de solicitação:

Parâmetro Descrição
timeout Opcional. O parâmetro timeout é expresso em segundos. Para obter mais informações, consulte Definir tempos limite para operações de serviço blob.

Cabeçalhos da solicitação

Os cabeçalhos de solicitação obrigatórios e opcionais são descritos na tabela a seguir:

Cabeçalho da solicitação Descrição
Authorization Obrigatórios. Especifica o esquema de autorização, o nome da conta e a assinatura. Para saber mais, confira Autorizar solicitações para o Armazenamento do Azure.
Date ou x-ms-date Obrigatórios. Especifica o UTC (Tempo Universal Coordenado) para a solicitação. Para saber mais, confira Autorizar solicitações para o Armazenamento do Azure.
x-ms-version Opcional. Especifica a versão da operação a ser usada para esta solicitação. Para obter mais informações, consulte Controle de versão para os Serviços de Armazenamento do Azure.
x-ms-blob-public-access Opcional. Especifica se os dados no contêiner podem ser acessados publicamente e o nível de acesso. Os valores possíveis incluem:

- container: especifica o acesso de leitura público completo para dados de contêiner e blob. Os clientes podem enumerar blobs dentro do contêiner por meio de solicitação anônima, mas não podem enumerar contêineres dentro da conta de armazenamento.
- blob: Especifica o acesso de leitura público para blobs. Os dados de blob dentro desse contêiner podem ser lidos por meio de solicitação anônima, mas os dados do contêiner não estão disponíveis. Os clientes não podem enumerar blobs dentro do contêiner por meio de solicitação anônima.

Se esse cabeçalho não estiver incluído na solicitação, os dados do contêiner serão privados para o proprietário da conta.

Observe que a configuração de acesso público para um contêiner em uma conta Armazenamento Premium do Azure não é permitida.
x-ms-lease-id: <ID> Opcional, versão 2012-02-12 e posterior. Se for especificado, Set Container ACL terá êxito somente se a concessão do contêiner estiver ativa e corresponder a essa ID. Se não houver nenhuma concessão ativa ou a ID não corresponder, 412 (Falha de Pré-condição) será retornado.
x-ms-client-request-id Opcional. Fornece um valor opaco gerado pelo cliente com um limite de caracteres KiB (1 kibibyte) que é registrado nos logs quando o registro em log é configurado. É altamente recomendável que você use esse cabeçalho para correlacionar atividades do lado do cliente com solicitações recebidas pelo servidor. Para obter mais informações, consulte Monitorar Armazenamento de Blobs do Azure.

Essa operação também oferece suporte ao uso de cabeçalhos condicionais para executar a operação somente se uma determinada condição for atendida. Para obter mais informações, consulte Especificar cabeçalhos condicionais para operações de serviço blob.

Corpo da solicitação

Para especificar uma política de acesso armazenada, forneça um identificador exclusivo e uma política de acesso no corpo da solicitação da operação Set Container ACL.

O elemento SignedIdentifier inclui o identificador exclusivo, conforme especificado no elemento Id, e os detalhes da política de acesso, conforme especificado no elemento AccessPolicy. O comprimento máximo do identificador exclusivo é 64 caracteres.

Os campos Start e Expiry devem ser expressos como hora UTC e devem atender a um formato ISO 8061 válido. Os formatos ISO 8061 com suporte incluem os seguintes:

  • YYYY-MM-DD
  • YYYY-MM-DDThh:mmTZD
  • YYYY-MM-DDThh:mm:ssTZD
  • YYYY-MM-DDThh:mm:ss.fffffffTZD

Para a parte de data desses formatos, YYYY é uma representação de ano com quatro dígitos, MM é uma representação de mês com dois dígitos e DD é uma representação de dia com dois dígitos. Na parte de hora, hh é a representação de hora na notação de 24 horas, mm é a representação de minuto com dois dígitos, ss é a representação de segundos com dois dígitos e fffffff é a representação de milissegundo com sete dígitos. Um designador T de hora separa as partes de data e hora da cadeia de caracteres e um designador TZD de fuso horário especifica um fuso horário.

<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>unique-64-character-value</Id>  
    <AccessPolicy>  
      <Start>start-time</Start>  
      <Expiry>expiry-time</Expiry>  
      <Permission>abbreviated-permission-list</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

Solicitação de exemplo

Request Syntax:  
PUT https://myaccount.blob.core.windows.net/mycontainer?restype=container&comp=acl HTTP/1.1  
  
Request Headers:  
x-ms-version: 2011-08-18  
x-ms-date: Sun, 25 Sep 2011 00:42:49 GMT  
x-ms-blob-public-access: container  
Authorization: SharedKey myaccount:V47F2tYLS29MmHPhiR8FyiCny9zO5De3kVSF0RYQHmo=  
  
Request Body:  
<?xml version="1.0" encoding="utf-8"?>  
<SignedIdentifiers>  
  <SignedIdentifier>   
    <Id>MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=</Id>  
    <AccessPolicy>  
      <Start>2009-09-28T08:49:37.0000000Z</Start>  
      <Expiry>2009-09-29T08:49:37.0000000Z</Expiry>  
      <Permission>rwd</Permission>  
    </AccessPolicy>  
  </SignedIdentifier>  
</SignedIdentifiers>  
  

Resposta

A resposta inclui um código de status HTTP e um conjunto de cabeçalhos de resposta.

Código de status

Uma operação bem-sucedida retorna o código de status 200 (OK).

Para obter mais informações sobre códigos de status, consulte Códigos de status e de erro.

Cabeçalhos de resposta

A resposta para esta operação inclui os cabeçalhos a seguir. A resposta também pode incluir cabeçalhos padrão HTTP adicionais. Todos os cabeçalhos padrão estão em conformidade com a especificação do protocolo HTTP/1.1.

Cabeçalho de resposta Descrição
ETag A ETag do contêiner. Se a versão da solicitação for 2011-08-18 ou posterior, o valor ETag será colocado entre aspas.
Last-Modified Retorna a data e a hora em que o contêiner foi modificado pela última vez. O formato da data segue RFC 1123. Para obter mais informações, consulte Representar valores de data/hora em cabeçalhos.

Qualquer operação que modifica o contêiner, suas propriedades ou metadados atualiza a hora da última modificação, inclusive definindo as permissões do contêiner. As operações em blobs não afetam a hora da última modificação do contêiner.
x-ms-request-id Identifica exclusivamente a solicitação que foi feita e pode ser usada para solucionar problemas da solicitação. Para obter mais informações, consulte Solucionar problemas de operações de API
x-ms-version Indica a versão do serviço Blob que foi usada para executar a solicitação. Esse cabeçalho é retornado para solicitações feitas na versão 2009-09-19 e mais recente.
Date Um valor de data/hora UTC gerado pelo serviço, que indica a hora em que a resposta foi iniciada.
x-ms-client-request-id Pode ser usado para solucionar problemas de solicitações e respostas correspondentes. O valor desse cabeçalho será igual ao valor do x-ms-client-request-id cabeçalho se ele estiver presente na solicitação e o valor não contiver mais de 1.024 caracteres ASCII visíveis. Se o x-ms-client-request-id cabeçalho não estiver presente na solicitação, ele não estará presente na resposta.

Resposta de exemplo

Response Status:  
HTTP/1.1 200 OK  
  
Response Headers:  
Transfer-Encoding: chunked  
Date: Sun, 25 Sep 2011 22:42:55 GMT  
ETag: "0x8CB171613397EAB"  
Last-Modified: Sun, 25 Sep 2011 22:42:55 GMT  
x-ms-version: 2011-08-18  
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0  

Autorização

A Set Container ACL operação só dá suporte à autorização de Chave Compartilhada.

Comentários

Somente o proprietário da conta pode acessar recursos em um contêiner específico, a menos que o proprietário tenha especificado que os recursos do contêiner estejam disponíveis para acesso público definindo as permissões no contêiner, ou que tenha emitido uma assinatura de acesso compartilhado para um recurso dentro do contêiner.

Quando você define permissões para um contêiner, as permissões existentes são substituídas. Para atualizar as permissões do contêiner, chame Obter ACL de Contêiner para buscar todas as políticas de acesso associadas ao contêiner. Modifique a política de acesso que você deseja alterar e, em seguida, chame Set Container ACL com o conjunto completo de dados para executar a atualização.

Habilitar o acesso público anônimo em dados de contêiner

Para habilitar o acesso de leitura público anônimo em dados do contêiner, chame Set Container ACL com o cabeçalho x-ms-blob-public-access definido como container ou blob. Para desabilitar o acesso anônimo, chame Set Container ACL sem especificar o cabeçalho x-ms-blob-public-access.

Se você definir x-ms-blob-public-access como blob, os clientes poderão chamar as seguintes operações anonimamente:

Se você definir x-ms-blob-public-access como container, os clientes poderão chamar as seguintes operações anonimamente:

Estabelecer políticas de acesso no nível do contêiner

Uma política de acesso armazenada pode especificar a hora de início, a hora de expiração e as permissões para as assinaturas de acesso compartilhado às quais está associada. Dependendo de como você deseja controlar o acesso ao seu contêiner ou recurso de blob, você pode especificar todos esses parâmetros dentro da política de acesso armazenada e omiti-los da URL para a assinatura de acesso compartilhado. Ao fazer isso, você pode modificar o comportamento da assinatura associada a qualquer momento ou revogá-la. Ou você pode especificar um ou mais parâmetros de política de acesso dentro da política de acesso armazenada e os outros na URL. Por fim, você pode especificar todos os parâmetros na URL. Nesse caso, é possível usar a política de acesso armazenada para revogar a assinatura, mas não para modificar seu comportamento. Para obter mais informações, consulte Definir uma política de acesso armazenada.

Juntos, a assinatura de acesso compartilhado e a política de acesso armazenada devem incluir todos os campos necessários para autorizar a assinatura. Se algum campo necessário estiver ausente, a solicitação falhará. Da mesma forma, se um campo for especificado na URL de assinatura de acesso compartilhado e na política de acesso armazenada, a solicitação falhará com status código 400 (Solicitação Incorreta).

No máximo, cinco políticas de acesso separadas podem ser definidas para um único contêiner a qualquer momento. Se mais de cinco políticas de acesso forem passadas no corpo da solicitação, o serviço retornará status código 400 (Solicitação Incorreta).

Uma assinatura de acesso compartilhado pode ser emitida em um contêiner ou um blob, independentemente de os dados do contêiner estarem disponíveis ou não para acesso de leitura anônimo. Uma assinatura de acesso compartilhado proporciona uma medida maior de controle de como, quando e para quem recurso se torna acessível.

Observação

Quando você estabelece uma política de acesso armazenada em um contêiner, a política pode levar até 30 segundos para entrar em vigor. Durante esse intervalo, até que a política se torne ativa, uma assinatura de acesso compartilhado associada à política de acesso armazenada falhará com status código 403 (Proibido).

Cobrança

As solicitações de preços podem ser originadas de clientes que usam APIs de Armazenamento de Blobs, diretamente por meio da API REST do Armazenamento de Blobs ou de uma biblioteca de clientes do Armazenamento do Azure. Essas solicitações acumulam encargos por transação. O tipo de transação afeta a forma como a conta é cobrada. Por exemplo, as transações de leitura se acumulam em uma categoria de cobrança diferente das transações de gravação. A tabela a seguir mostra a categoria de cobrança para Set Container ACL solicitações com base no tipo de conta de armazenamento:

Operação Tipo de conta de armazenamento Categoria de cobrança
Set Container ACL Blob de blocos Premium
Uso geral v2 Standard
Outras operações
Set Container ACL Uso geral v1 Standard Operações de gravação

Para saber mais sobre os preços da categoria de cobrança especificada, confira Preços Armazenamento de Blobs do Azure.

Confira também

Restringir o acesso a contêineres e blobs
Delegar acesso com uma assinatura de acesso compartilhado
Criar e usar uma assinatura de acesso compartilhado
Definir uma política de acesso armazenada
Get Container ACL
Autorizar solicitações para o Armazenamento do Azure
Status e códigos de erro
Códigos de erro do serviço Blob