Response status:
HTTP/1.1 201 Created
Response headers:
Transfer-Encoding: chunked
Date: Sun, 25 Sep 2011 23:00:12 GMT
ETag: “0x8CB14C3E29B7E82”
Last-Modified: Sun, 25 Sep 2011 23:00:06 GMT
x-ms-version: 2011-08-18
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
在 Azure 存储中调用任何数据访问操作时,都需要授权。 可以如下所述授权 Create Container 操作。
Azure AD
SAS) (共享访问签名
Azure 存储支持使用 Azure Active Directory (Azure AD) 来授权请求 Blob 数据。 借助 Azure AD,可以使用 Azure 基于角色的访问控制 (Azure RBAC) 向安全主体授予权限。 安全主体可以是用户、组、应用程序服务主体或 Azure 托管标识。 安全主体经 Azure AD 进行身份验证后会返回 OAuth 2.0 令牌。 然后可以使用令牌来授权对 Blob 服务发出请求。
若要详细了解如何使用 Azure AD 进行授权,请参阅 使用 Azure Active Directory 授予对 Blob 的访问权限。
下面列出了 Azure AD 用户、组或服务主体调用 Create Container 操作所需的 RBAC 操作,以及包含此操作的最低特权内置 Azure RBAC 角色:
Azure RBAC 操作:Microsoft.Storage/storageAccounts/blobServices/containers/write
最低特权内置角色:存储 Blob 数据参与者
若要详细了解如何使用 Azure RBAC 分配角色,请参阅 分配 Azure 角色以访问 Blob 数据。
共享访问签名 (SAS) 提供对存储帐户中资源的安全委派访问。 使用 SAS,可以精细控制客户端访问数据的方式。 可以指定客户端可以访问的资源、它们对这些资源拥有的权限以及 SAS 的有效期。
操作 Create Container 支持使用帐户 SAS 进行授权。
如果不允许对存储帐户进行共享密钥访问,则对 Blob 存储的请求不允许使用帐户 SAS 令牌。 若要了解详细信息,请参阅 了解不允许共享密钥如何影响 SAS 令牌。
帐户 SAS
帐户 SAS 使用存储帐户密钥进行保护。 帐户 SAS 可委派对一个或多个存储服务中的资源的访问权限。 通过服务或用户委托 SAS 提供的所有操作也可以通过帐户 SAS 提供。
下表指示在委派访问权限时要指定的已签名资源类型和已签名权限:
已签名服务
已签名资源类型
已签名权限
该 Create Container 操作支持 共享密钥授权。 在大多数情况下,不建议使用帐户密钥进行授权,因为它不太安全。
Microsoft 建议尽可能禁止对存储帐户进行共享密钥授权。 有关详细信息,请参阅阻止通过共享密钥进行授权。
容器立即在存储帐户中创建。 不能将一个容器嵌套在另一个容器中。
可以选择为存储帐户创建一个默认容器或根容器。 根容器可实现从存储帐户层次结构的顶层引用 Blob,而无需引用容器名称。
要向存储帐户添加根容器,请创建一个名为 $root 的容器。 按如下所示构造请求:
Request Syntax:
PUT https://myaccount.blob.core.windows.net/$root?restype=container HTTP/1.1
Request Headers:
x-ms-version: 2011-08-18
x-ms-date: Sun, 25 Sep 2011 22:50:32 GMT
x-ms-meta-Name: StorageSample
Authorization: SharedKey myaccount:Z5043vY9MesKNh0PNtksNc9nbXSSqGHueE00JdjidOQ=
创建容器时,可以通过在请求中包含一个或多个元数据标头来指定容器的元数据。 元数据头的格式为 x-ms-meta-name:value。
如果在调用 时 Create Container 删除同名容器,服务器将返回状态代码 409 (冲突) ,并提供指示正在删除容器的其他错误信息。
授权对 Azure 存储的请求
状态和错误代码
Blob 存储错误代码
名称和引用容器、Blob 和元数据
设置和检索 Blob 资源的属性和元数据
Set Container ACL
