Oracle Cloud Infrastructureドキュメント

事前認証済リクエストの使用

事前認証済リクエストは、リクエスト作成者がそれらのオブジェクトにアクセスする権限を持っている限り、ユーザーが独自の資格証明を持たずにバケットまたはオブジェクトにアクセスできるようにします。 たとえば、APIキーを所有していないバケットにユーザーがアップロードしたバックアップを操作で処理できるようにするリクエストを作成できます。 または、ビジネス・パートナがAPIキーを所有せずにバケット内の共有データを更新できるようにするリクエストを作成できます。

事前認証済リクエストを作成すると、一意のURLが生成されます。 curlやwgetなどの標準HTTPツールを使用して、認証前リクエストで特定されたオブジェクト・ストレージ・リソースにアクセスできるようにこのURLを任意のユーザーが指定します。

重要

ビジネス要件を評価し、バケットまたはオブジェクトへの認証前アクセスのセキュリティ状況を評価します。

認証前リクエストURLは、リクエストで特定されたターゲットへのURLアクセス権を持つ任意のユーザーに割り当てられます。 URLの配布は慎重に管理します。

必要な権限

事前認証済リクエストを作成するには

pre-authenticatedリクエストを作成または管理するには、ターゲット・バケットまたはオブジェクトに対するPAR_MANAGE権限が必要です。

pre-authenticatedリクエストを作成するためのPAR_MANAGE権限のみ必要ですが、付与するアクセス・タイプに対する適切な権限を持っている必要があります。 例えば:

  • バケットへのオブジェクトのアップロードに対する事前認証リクエストを作成する場合、PAR_MANAGEに加えてOBJECT_CREATEおよびOBJECT_OVERWRITEの権限が必要です。
  • バケット内のオブジェクトへの読取り/書込みアクセスの事前認証リクエストを作成する場合、オブジェクトに対する読取り/書込みアクセス権をユーザーに付与するには、PAR_MANAGE以外にOBJECT_READOBJECT_CREATEおよびOBJECT_OVERWRITEの権限が必要です。

重要

認証前リクエストの作成者が削除されたり、リクエストの作成後に必要な権限が失われたりすると、リクエストは機能しなくなります。

事前認証済リクエストを使用するには

認証前リクエストの作成者の権限は、認証前リクエストを使用するたびに確認されます。 認証前リクエストは、次のいずれかが発生すると機能しなくなります:

  • 認証前リクエスト作成者の変更の権限
  • 認証前リクエストを作成したユーザーが削除されます
  • 事前認証済リクエストを作成したフェデレーテッド・ユーザーが、そのリクエストを作成したときのユーザー機能を失いました。
  • 認証前リクエストが期限切れです

オプション

事前認証済リクエストを作成するときは、次のオプションがあります:

  • 認証前リクエスト・ユーザーが書込みアクセス権を持ち、1つ以上のオブジェクトをアップロードできるバケットの名前を指定できます。
  • 認証前リクエストのユーザーが読み書き可能なオブジェクトの名前を指定できます。

スコープと制約

事前認証済リクエストに関する以下の範囲と制約を理解してください:

  • ユーザーはバケットの内容をリストできません。
  • 事前認証済のリクエストはいくつでも作成できます。
  • 設定可能な有効期限日までの時間制限はありません。
  • 事前認証済リクエストは編集できません。 要件の変更に対応してユーザーのアクセス・オプションを変更する場合は、新しい認証前リクエストを作成する必要があります。
  • 事前認証済リクエストのターゲットとアクションは、作成者権限に基づきます。 ただし、リクエストは作成者アカウントのログイン資格証明にバインドされていません。 作成者のログイン資格証明が変更されても、認証前のリクエストは影響を受けません。
  • 事前認証済リクエストが関連付けられているバケット、またはそのバケット内のオブジェクトであるバケットは削除できません。

事前認証済リクエストの処理

コンソールを使用するか、CLIを使用するか、SDKを使用してAPIにアクセスして、事前認証済リクエストを作成、削除、またはリストできます。

重要

事前認証済リクエストを作成するときにシステムによって提供される一意のURLは、ユーザーがリクエスト対象として指定されたバケットまたはオブジェクトにアクセスできる唯一の方法です。
URLを耐久性のあるストレージにコピーします。 URLは作成時にのみ表示され、後で検索することはできません。

認証前リクエストを作成した後に、認証前リクエストを使用してデータの読取りと書込みを行うcurlなどのツールを使用できます。

オブジェクトを配置するには
オブジェクトを取得するには

コンソールを使用した場合

バケットの事前認証済リクエストを作成するには
オブジェクトの事前認証済リクエストを作成するには
認証前リクエストIDをコピーするには

コマンド・ライン・インタフェース(CLI)の使用

CLIの使用方法については、「コマンド・ライン・インタフェース(CLI)」を参照してください。 CLIコマンドで使用可能なフラグおよびオプションの完全なリストについては、「CLIヘルプ」を参照してください。

バケットの事前認証済リクエストを作成するには
オブジェクトの事前認証済リクエストを作成するには
事前認証済リクエストをリストするには
事前認証済リクエストを取得するには
事前認証済リクエストを削除するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

事前認証済リクエストを処理するには、次の操作を使用します: