Oracle Cloud Infrastructureドキュメント

事前認証済リクエストの使用

事前認証済リクエストは、リクエスト作成者がそれらのオブジェクトにアクセスする権限を持っている限り、ユーザーが独自の資格証明を持たずにバケットまたはオブジェクトにアクセスできるようにします。 たとえば、APIキーを所有していないバケットにユーザーがアップロードしたバックアップを操作で処理できるようにするリクエストを作成できます。 または、ビジネス・パートナがAPIキーを所有せずにバケット内の共有データを更新できるようにするリクエストを作成できます。

事前認証済リクエストを作成すると、一意のURLが生成されます。 組織、パートナ、またはサードパーティのユーザーは、このURLを使用して、事前認証済リクエストで識別されたオブジェクト・ストレージ・リソース・ターゲットにアクセスできます。

重要

バケットまたはオブジェクトへの事前認証アクセスのビジネス要件とセキュリティの影響を慎重に評価します。

認証前リクエストURLは、リクエストがアクティブである間にリクエスト内で識別されたターゲットへのURLアクセス権を持つすべてのユーザーに付与します。 URLの配布は必ず慎重に管理してください。

必要な権限

事前認証済リクエストを作成するには

pre-authenticatedリクエストを作成または管理するには、ターゲット・バケットまたはオブジェクトに対するPAR_MANAGE権限が必要です。

pre-authenticatedリクエストを作成するにはPAR_MANAGE権限しか必要ありませんが、付与するアクセス・タイプに対する適切な権限も必要です。 例えば:

  • バケットへのオブジェクトのアップロードに対する事前認証リクエストを作成する場合、PAR_MANAGEに加えてOBJECT_CREATEおよびOBJECT_OVERWRITEの権限が必要です。
  • バケット内のオブジェクトへの読取り/書込みアクセスの事前認証リクエストを作成する場合、オブジェクトに対する読取り/書込みアクセス権をユーザーに付与するには、PAR_MANAGE以外にOBJECT_READOBJECT_CREATEおよびOBJECT_OVERWRITEの権限が必要です。

重要

認証前リクエストの作成者が削除されたり、リクエストの作成後に必要な権限が失われたりすると、リクエストは機能しなくなります。

事前認証済リクエストを使用するには

認証前リクエストの作成者の権限は、認証前リクエストを使用するたびに確認されます。 認証前リクエストは機能しなくなりました:

  • 認証前リクエストの作成者の権限が変更されると
  • 認証前リクエストを作成したユーザーが削除された場合

オプション

事前認証済リクエストを作成するときは、次のオプションがあります:

  • 認証前リクエスト・ユーザーが書込みアクセス権を持ち、1つ以上のオブジェクトをアップロードできるバケットの名前を指定できます。
  • 認証前リクエストのユーザーが読み書き可能なオブジェクトの名前を指定できます。
  • リクエストの有効期限を指定できます。

スコープと制約

事前認証済リクエストに関する以下の範囲と制約を理解してください:

  • ユーザーはバケットの内容をリストできません。
  • 認証前リクエストは無制限に作成できます。
  • 事前認証済リクエストは編集できません。 要件の変更に応じてユーザー・アクセス・オプションを変更する場合は、新しい事前認証済リクエストを作成する必要があります。
  • 事前認証済リクエストのターゲットとアクションは、作成者権限に基づいています。 ただし、リクエストは作成者アカウントのログイン資格証明にバインドされていません。 作成者のログイン資格証明が変更されても、認証前のリクエストは影響を受けません。
  • 事前認証済リクエストが関連付けられているバケット、またはそのバケット内のオブジェクトであるバケットは削除できません。

事前認証済リクエストの処理

コンソールを使用するか、CLIを使用するか、SDKを使用してAPIにアクセスして、事前認証済リクエストを作成、削除、またはリストできます。

重要

事前認証済リクエストを作成するときにシステムによって提供される一意のURLは、ユーザーがリクエスト対象として指定されたバケットまたはオブジェクトにアクセスできる唯一の方法です。
URLを耐久性のあるストレージにコピーします。 URLは作成時にのみ表示され、後で検索することはできません。

コンソールを使用した場合

バケットの事前認証済リクエストを作成するには
オブジェクトの事前認証済リクエストを作成するには
認証前リクエストIDをコピーするには

コマンド・ライン・インタフェース(CLI)の使用

CLIの使用方法については、「コマンド・ライン・インタフェース(CLI)」を参照してください。 CLIコマンドで使用可能なフラグおよびオプションの完全なリストについては、「CLIヘルプ」を参照してください。

バケットの事前認証済リクエストを作成するには
オブジェクトの事前認証済リクエストを作成するには
事前認証済リクエストをリストするには
事前認証済リクエストを取得するには
事前認証済リクエストを削除するには

APIの使用

APIおよび署名リクエストの使用については、REST APIおよび「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

事前認証済リクエストを処理するには、次の操作を使用します: