事前認証済リクエスト
事前認証済リクエストは、リクエスト作成者がオブジェクトにアクセスする権限を持っている場合、ユーザーが独自の資格証明を持たずにバケットまたはオブジェクトにアクセスできるようにする手段を提供します。
たとえば、ユーザーがAPIキーを所有せずにバケットにバックアップをアップロードする操作をサポートするリクエストを作成できます。 または、ビジネス・パートナがAPIキーを所有せずにバケット内の共有データを更新できるリクエストを作成できます。
事前認証済リクエストの作成時に、一意のURLが生成されます。 このURLを提供するユーザーは、curlやwgetなどの標準HTTPツールを使用して、事前認証済リクエストで識別されるObject Storageリソースにアクセスできます。
重要:
ビジネス要件と、バケットまたはオブジェクトへの事前認証済アクセスのセキュリティ上の影響を評価します。
事前認証済リクエストURLは、リクエストで識別されたターゲットへのURLアクセス権を持つすべてのユーザーに提供します。 URLの配布を慎重に管理します。
必要な権限
事前認証済リクエストを作成するには
ターゲット・バケットまたはオブジェクトに対するPAR_MANAGE
権限が必要です。
また、付与するアクセス・タイプに対する適切な権限を持っている必要があります。 たとえば:
-
オブジェクトをバケットにアップロードするための事前認証済リクエストを作成する場合、
OBJECT_CREATE
およびOBJECT_OVERWRITE
権限が必要です。 -
バケット内のオブジェクトに対する読取り/書込みアクセス用の事前認証済リクエストを作成する場合は、
OBJECT_READ
、OBJECT_CREATE
およびOBJECT_OVERWRITE
権限が必要です。
重要:
事前認証済リクエストの作成者がリクエストの作成後に削除されるか、必要な権限が失われた場合、リクエストは機能しなくなります。
事前認証済リクエストを使用するには
事前認証済リクエストを使用するたびに、事前認証済リクエスト作成者の権限がチェックされます。
次のいずれかが発生すると、事前認証済リクエストは機能しなくなります:
-
事前認証済リクエスト作成者の権限が変更されました。
-
事前認証済リクエストを作成したユーザーが削除されます。
-
事前認証済リクエストを作成したフェデレーテッド・ユーザーが、リクエストを作成したときのユーザー機能を失いました。
-
事前認証済リクエストの有効期限が切れています。
事前認証リクエストのタイプ
事前認証済リクエストを作成する場合、次のオプションがあります:
-
事前認証済リクエスト・ユーザーが書込みアクセス権を持ち、1つ以上のオブジェクトをアップロードできるバケットの名前を指定できます。
-
事前認証済リクエスト・ユーザーが読取り、書込みまたは読取りおよび書込みを実行できるオブジェクトの名前を指定できます。
スコープと制約
事前認証済リクエストに関する次のスコープおよび制約の理解:
-
ユーザーはバケット・コンテンツをリストできません。
-
事前認証済リクエストはいくつでも作成できます。
-
設定できる有効期限までの時間制限はありません。
-
事前認証済リクエストは編集できません。 要件の変更に応じてユーザー・アクセス・オプションを変更する場合は、新しい事前認証済リクエストを作成する必要があります。
-
事前認証済リクエストのターゲットおよびアクションは、作成者権限に基づきます。 ただし、リクエストは作成者アカウントのログイン資格証明にバインドされません。 作成者のログイン資格証明が変更された場合、事前認証済リクエストは影響を受けません。
-
そのバケットまたはそのバケット内のオブジェクトに関連付けられた事前認証済リクエストがあるバケットは削除できません。
重要:
事前認証済リクエストの作成時にシステムによって提供される一意のURLは、ユーザーがリクエスト・ターゲットとして指定されたバケットまたはオブジェクトにアクセスできる唯一の方法です。 URLを永続ストレージにコピーします。 URLは作成時にのみ表示され、後で取得することはできません。