销售电话: 1-800-867-1380

制定存储访问策略

更新时间: 2015年4月

存储访问策略额外增加了一层对服务器端共享访问签名的控制。建立存储访问策略可将共享访问签名分组以及对该策略绑定的签名施加其他限制。可使用存储访问策略更改签名的开始时间、到期时间或权限,还可在颁发签名后将其撤消。

以下存储资源支持存储访问策略:

  • 容器。请注意,容器上的存储访问策略可以与向容器本身或它包含的 Blob 授予权限的共享访问签名关联。

  • 队列

  • 表和表实体范围

有关使用存储访问策略的更多详细信息,请参阅Use a Stored Access Policy

若要创建或修改存储访问策略,请通过指定访问策略条款的请求正文调用针对资源的“设置 ACL”操作(即 设置容器 ACL设置队列 ACL设置表 ACL)。请求正文包括你选择的唯一签名标识符(长度最多为 64 个字符)和访问策略的可选参数,如下所示:

<?xml version="1.0" encoding="utf-8"?> <SignedIdentifiers>   <SignedIdentifier>      <Id>unique-64-char-value</Id>     <AccessPolicy>       <Start>start-time</Start>       <Expiry>expiry-time</Expiry>       <Permission>abbreviated-permission-list</Permission>     </AccessPolicy>   </SignedIdentifier> </SignedIdentifiers> 
note备注
表实体范围限制(startpkstartrkendpkendrk)无法在存储访问策略中指定。

在任何给定时间,最多可以对容器、表或队列设置五个访问策略。每个 SignedIdentifier 字段(及其唯一的 Id 字段)对应于一个访问策略。尝试一次设置 5 个以上的访问策略会导致服务返回状态代码 400(错误的请求)。

若要修改存储访问策略的参数,可以调用针对资源类型的访问控制列表操作以替换现有策略,从而指定新的开始时间、到期时间或权限集。例如,如果现有策略向资源授予读取和写入权限,则可以修改它以便对所有将来的请求仅授予读取权限。在这种情况下,新策略的签名标识符(由 ID 字段指定)与所替换的策略的签名标识符相同。

若要撤消存储访问策略,可以删除它,也可以通过更改签名标识符进行重命名。更改签名标识符会中断任何现有签名与存储访问策略之间的关联。删除或重命名存储访问策略会立即影响与之关联的所有共享访问签名。

若要移除单个访问策略,请调用资源的“设置 ACL”操作,从而传入要在容器上维护的签名标识符集。若要从资源中移除所有访问策略,请使用空白请求正文调用“设置 ACL”操作。

另请参阅

本文是否对您有所帮助?
(1500 个剩余字符)
感谢您的反馈
显示:
© 2015 Microsoft