アクセス許可の作成
Create Permission 操作は、共有レベルでアクセス許可 (セキュリティ記述子) を作成します。 作成されたセキュリティ記述子は、共有内のファイルとディレクトリに使用できます。 この API は、バージョン 2019-02-02 以降で使用できます。
プロトコルの可用性
| 有効なファイル共有プロトコル | 利用できる |
|---|---|
| SMB |
|
| NFS |
なし |
依頼
次に示すように、Create Permission 要求を作成できます。 HTTPS を使用することをお勧めします。
| 方式 | 要求 URI | HTTP バージョン |
|---|---|---|
PUT |
https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission |
HTTP/1.1 |
次に示すように、要求 URI に表示されているパス コンポーネントを独自のコンポーネントに置き換えます。
| パス コンポーネント | 形容 |
|---|---|
myaccount |
ストレージ アカウントの名前。 |
myshare |
ファイル共有の名前。 名前には小文字のみを使用できます。 |
パスの名前付けの制限については、「名前と参照共有、ディレクトリ、ファイル、およびメタデータを参照してください。
URI パラメーター
次に示すように、要求 URI に追加のパラメーターを指定できます。
| パラメーター | 形容 |
|---|---|
timeout |
随意。
timeout パラメーターは秒単位で表されます。 詳細については、「Queue サービス操作のタイムアウトを設定する」を参照してください。 |
要求ヘッダー
必須の要求ヘッダーと省略可能な要求ヘッダーを次の表に示します。
| 要求ヘッダー | 形容 |
|---|---|
Authorization |
必須。 承認スキーム、ストレージ アカウント名、および署名を指定します。 詳細については、「Azure Storageへの要求を承認する」を参照してください。 |
Date または x-ms-date |
必須。 要求の世界協定時刻 (UTC) を指定します。 詳細については、「Azure Storageへの要求を承認する」を参照してください。 |
x-ms-version |
随意。 この要求に使用する操作のバージョンを指定します。 詳細については、「Azure Storage サービスのバージョン管理の |
x-ms-client-request-id |
随意。 ログ記録の構成時にログに記録される 1 kibibyte (KiB) 文字制限を持つクライアント生成の不透明な値を提供します。 このヘッダーを使用して、クライアント側のアクティビティと、サーバーが受信する要求を関連付けすることを強くお勧めします。 詳細については、「Monitor Azure Files」を参照してください。 |
x-ms-file-request-intent |
ヘッダー Authorization OAuth トークンを指定する場合は必須です。 許容される値は backupです。 このヘッダーは、Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action または Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action が、Authorization ヘッダーを使用して承認された ID に割り当てられた RBAC ポリシーに含まれている場合に付与されるように指定します。 バージョン 2022-11-02 以降で使用できます。 |
要求本文
要求本文に JSON オブジェクトを配置して、セキュリティ記述子を作成します。 JSON オブジェクトには、次のフィールドを含めることができます。
| JSON キー | 形容 |
|---|---|
permission |
必須。
セキュリティ記述子定義言語 (SDDL) または (バージョン 2024-11-04 以降) base64 でエンコードされた バイナリ セキュリティ記述子形式のアクセス許可。 セキュリティ記述子には、所有者、グループ、および随意アクセス制御リスト (DACL) |
format |
随意。 バージョン 2024-11-04 以降。
permissionで提供されるアクセス許可の形式について説明します。 定義されている場合、このフィールドは "sddl" または "binary"に設定する必要があります。 省略すると、既定値の "sddl" が使用されます。 |
SDDL を使用する場合、セキュリティ記述子の SDDL 文字列形式には、ドメイン相対識別子 (DU、DA、DD など) を含めることはできません。
{
"permission": "<SDDL>"
}
バージョン 2024-11-04 以降では、必要に応じて、アクセス許可が SDDL 形式であることを明示的に指定できます。
{
"format": "sddl",
"permission": "<SDDL>"
}
バージョン 2024-11-04 以降では、base-64 でエンコードされたバイナリ形式でアクセス許可を作成することもできます。 その場合は、形式が "binary"であることを明示的に指定する必要があります。
{
"format": "binary",
"permission": "<base64>"
}
要求のサンプル
PUT https://myaccount.file.core.windows.net/myshare?restype=share&comp=filepermission HTTP/1.1
Request Headers:
x-ms-date: Mon, 27 Jan 2014 22:15:50 GMT
x-ms-version: 2014-02-14
Authorization: SharedKey myaccount:4KdWDiTdA9HmIF9+WF/8WfYOpUrFhieGIT7f0av+GEI=
Request Body:
{"permission": "O:S-1-5-21-2127521184-1604012920-1887927527-21560751G:S-1-5-21-2127521184-1604012920-1887927527-513D:AI(A;;FA;;;SY)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-397955417-626881126-188441444-3053964)"}
応答
応答には、HTTP 状態コードと一連の応答ヘッダーが含まれます。
状態コード
操作が成功すると、状態コード 201 (Created) が返されます。
状態コードの詳細については、「状態コードとエラー コードを参照してください。
応答ヘッダー
この操作の応答には、次のヘッダーが含まれます。 応答には、追加の標準 HTTP ヘッダーも含まれる場合があります。 すべての標準ヘッダーは、HTTP/1.1 プロトコル仕様に準拠しています。
| 応答ヘッダー | 形容 |
|---|---|
x-ms-request-id |
作成された要求を一意に識別し、それを使用して要求のトラブルシューティングを行うことができます。 |
x-ms-version |
要求の実行に使用された Azure Files のバージョンを示します。 |
Date または x-ms-date |
サービスによって生成され、応答が開始された時刻を示す UTC 日付/時刻値。 |
x-ms-file-permission-key |
作成されたアクセス許可のキー。 |
x-ms-client-request-id |
要求とそれに対応する応答のトラブルシューティングに使用できます。 このヘッダーの値は、要求に存在し、1,024 文字以下の ASCII 文字が含まれている場合、x-ms-client-request-id ヘッダーの値と同じです。
x-ms-client-request-id ヘッダーが要求に存在しない場合、応答には存在しません。 |
応答本文
何一つ。
認可
書き込みと削除の承認を持つ共有レベルの Shared Access Signature を持つアカウント所有者または呼び出し元のみが、この操作を呼び出すことができます。
備考
ドメインとドメインに参加していないマシン間で SDDL 形式を移植できるようにするには、呼び出し元は、ConvertSecurityDescriptorToStringSecurityDescriptor Windows 関数を使用して、セキュリティ記述子の基本 SDDL 文字列を取得できます。 呼び出し元は、次の表に示す SDDL 表記を正しい SID 値に置き換えることができます。
| 名前 | SDDL 表記 | SID 値 | 形容 |
|---|---|---|---|
| ローカル管理者 | ラ | S-1-5-21-domain-500 | システム管理者のユーザー アカウント。 既定では、システムを完全に制御できる唯一のユーザー アカウントです。 |
| ローカル ゲスト | LG | S-1-5-21-domain-501 | 個々のアカウントを持っていないユーザーのユーザー アカウント。 このユーザー アカウントにはパスワードは必要ありません。 既定では、ゲスト アカウントは無効になっています。 |
| 証明書の発行元 | CA | S-1-5-21-domain-517 | エンタープライズ証明機関を実行しているすべてのコンピューターを含むグローバル グループ。 証明書の発行元は、Active Directory のユーザー オブジェクトの証明書を発行する権限を持ちます。 |
| Domain Admins | DA | S-1-5-21-domain-512 | ドメインを管理する権限を持つメンバーを持つグローバル グループ。 既定では、Domain Admins グループは、ドメイン コントローラーを含め、ドメインに参加しているすべてのコンピューターの Administrators グループのメンバーです。 Domain Admins は、グループのメンバーによって作成されるすべてのオブジェクトの既定の所有者です。 |
| ドメイン コントローラー | DD | S-1-5-21-domain-516 | ドメイン内のすべてのドメイン コントローラーを含むグローバル グループ。 既定では、新しいドメイン コントローラーがこのグループに追加されます。 |
| ドメイン ユーザー | デュ | S-1-5-21-domain-513 | 既定では、ドメイン内のすべてのユーザー アカウントを含むグローバル グループ。 ドメインにユーザー アカウントを作成すると、既定でアカウントがこのグループに追加されます。 |
| ドメイン ゲスト | DG | S-1-5-21-domain-514 | 既定では、ドメインの組み込みゲスト アカウントであるメンバーが 1 つだけ存在するグローバル グループ。 |
| ドメイン コンピューター | 直流 | S-1-5-21-domain-515 | ドメインに参加しているすべてのクライアントとサーバーを含むグローバル グループ。 |
| スキーマ管理者 | SA | S-1-5-21root domain-518 | ネイティブ モード ドメインのユニバーサル グループ。混合モード ドメイン内のグローバル グループ。 グループは、Active Directory でスキーマを変更する権限を持ちます。 既定では、グループの唯一のメンバーはフォレスト ルート ドメインの管理者アカウントです。 |
| Enterprise Admins | EA | S-1-5-21root domain-519 | ネイティブ モード ドメインのユニバーサル グループ。混合モード ドメイン内のグローバル グループ。 グループは、子ドメインの追加など、Active Directory でフォレスト全体の変更を行う権限を持ちます。 既定では、グループの唯一のメンバーはフォレスト ルート ドメインの管理者アカウントです。 |
| グループ ポリシー作成者の所有者 | お父さん | S-1-5-21-domain-520 | Active Directory で新しいグループ ポリシー オブジェクトを作成する権限を持つグローバル グループ。 |
| RAS および IAS サーバー | RS | S-1-5-21-domain-553 | ドメイン ローカル グループ。 既定では、このグループにはメンバーがありません。 このグループのリモート アクセス サーバー (RAS) およびインターネット認証サービス (IAS) サーバーには、Active Directory ドメイン ローカル グループ内のユーザー オブジェクトに対する[アカウントの制限の読み取り] および [ログオン情報の読み取り] アクセス権があります。 |
| エンタープライズ読み取り専用ドメイン コントローラー | 拘束形態素 | S-1-5-21-domain-498 | ユニバーサル グループ。 このグループのメンバーは、エンタープライズの読み取り専用ドメイン コントローラーです。 |
| 読み取り専用ドメイン コントローラー | RO | S-1-5-21-domain-521 | グローバル グループ。 このグループのメンバーは、ドメイン内の読み取り専用ドメイン コントローラーです。 |