Oracle Cloud Infrastructure - Dokumentation

Vorab authentifizierte Object Storage-Anforderungen

Erfahren Sie, wie Sie mit dem Feature für vorab authentifizierte Anforderungen Benutzern Zugriff auf einen Bucket oder ein Objekt erteilen, ohne ihre Anmeldedaten anzugeben.

Mit vorab authentifizierten Anforderungen können Nutzer auf einen Bucket oder ein Objekt zugreifen, ohne eigene Zugangsdaten zu besitzen. Benutzer haben weiterhin Zugriff auf den Bucket oder das Objekt, solange der Ersteller der Anforderung über Berechtigungen für den Zugriff auf diese Ressourcen verfügt. Beispielsweise können Sie eine Anforderung erstellen, mit der ein Supportbenutzer Backups in einen Bucket hochladen kann, ohne über API-Schlüssel zu verfügen. Sie können auch eine Anforderung erstellen, mit der ein Geschäftspartner auf alle vierteljährlichen Finanzberichte in einem Bucket zugreifen kann, ohne über API-Schlüssel zu verfügen.

Wenn Sie eine vorab authentifizierte Anforderung erstellen, wird eine eindeutige URL generiert. Jeder, dem Sie diese URL bereitstellen, kann mit Standard-HTTP-Tools wie Curl und wget auf die in der vorab authentifizierten Anforderung angegebenen Objektspeicherressourcen zugreifen.

Wichtig

Prüfen Sie die Geschäftsanforderung für den vorab authentifizierten Zugriff auf einen Bucket oder Objekte. Über eine vorab authentifizierte Anforderungs-URL erhält jeder, der über die URL verfügt, Zugriff auf die in der Anforderung angegebenen Ziele. Gehen Sie bei der Verteilung der URL vorsichtig vor.

Aufgaben für vorab authentifizierte Anforderungen

Sie können die folgenden Aufgaben im Voraus authentifizierter Anforderungen ausführen:

Erforderliche Berechtigungen

Vorab authentifizierte Anforderung erstellen

Zum Erstellen oder Verwalten von vorab authentifizierten Anforderungen benötigen Sie die Berechtigung PAR_MANAGE für den Ziel-Bucket.

Obwohl Sie nur die Berechtigung PAR_MANAGE benötigen, um eine vorab authentifizierte Anforderung zu erstellen, müssen Sie auch über die entsprechenden Berechtigungen für den Zugriffstyp verfügen, den Sie erteilen. Beispiel:

  • Wenn Sie eine vorauthentifizierte Anforderung zum Hochladen von Objekten in einen Bucket erstellen, benötigen Sie neben der Berechtigung PAR_MANAGE die Berechtigungen OBJECT_CREATE und OBJECT_OVERWRITE.

  • Wenn Sie eine vorab authentifizierte Anforderung für den Lese- und Schreibzugriff auf Objekte in einem Bucket erstellen, müssen Sie nicht nur die Berechtigungen PAR_MANAGE, sondern auch die Berechtigungen OBJECT_READ, OBJECT_CREATE und OBJECT_OVERWRITE verwenden.

Wichtig

Wenn der Ersteller einer im Voraus authentifizierten Anforderung gelöscht wird oder ihm nach dem Erstellen der Anforderung die erforderlichen Berechtigungen verloren gehen, funktioniert die Anforderung nicht mehr.

Vorab authentifizierte Anforderung verwenden

Jedes Mal, wenn eine vorab authentifizierte Anforderung verwendet wird, werden die Berechtigungen des jeweiligen Erstellers geprüft. Die vorab authentifizierte Anforderung funktioniert nicht mehr, wenn eine der folgenden Bedingungen vorliegt:

  • Die Berechtigungen des Erstellers der vorab authentifizierten Anforderung haben sich geändert.

  • Der Benutzer, der die vorab authentifizierte Anforderung erstellt hat, wird gelöscht.

  • Dem föderierten Benutzer, der die vorab authentifizierte Anforderung erstellt hat, wurden die Berechtigungen, über die er beim Erstellen der Anforderung verfügte, entzogen.

  • Die vorab authentifizierte Anforderung ist abgelaufen oder wurde gelöscht.

Optionen

Sie können eine vorab authentifizierte Anforderung erstellen, die Lese-, Schreib- oder Lese-/Schreibzugriff für eine der folgenden Aktionen erteilt:

  • Alle Objekte im Bucket.

  • Ein bestimmtes Objekt im Bucket.

  • Alle Objekte im Bucket, die ein angegebenes Präfix aufweisen.

Bei Anforderungen, die für mehrere Objekte gelten, können Sie auch entscheiden, ob Benutzer diese Objekte auflisten dürfen.

Geltungsbereich und Constraints

Machen Sie sich mit dem folgenden Geltungsbereich und den Constraints bezüglich vorab authentifizierter Anforderungen vertraut:

  • Sie können eine unbegrenzte Anzahl vorab authentifizierter Anforderungen erstellen.

  • Die maximale Länge für eine vorab authentifizierte Anforderung, einschließlich des Objektnamens, beträgt 3500 Byte.

  • Mit einer vorab authentifizierten Anforderung, die für alle Objekte in einem Bucket erstellt wurde, können Anforderungsbenutzer eine beliebige Anzahl von Objekten in den Bucket hochladen.

  • Das Ablaufdatum ist erforderlich, weist jedoch keine Limits auf. Sie können es so weit in die Zukunft setzen, wie Sie möchten.

  • Sie können eine vorab authentifizierte Anforderung nicht bearbeiten. Um als Reaktion auf geänderte Anforderungen die Benutzerzugriffsoptionen zu ändern oder die Objektauflistung zu aktivieren, müssen Sie eine neue vorab authentifizierte Anforderung erstellen.

  • Standardmäßig können vorab authentifizierte Anforderungen für einen Bucket oder für Objekte mit Präfix nicht zum Auflisten von Objekten verwendet werden. Sie können die Objektauflistung explizit aktivieren, wenn Sie eine vorab authentifizierte Anforderung erstellen.

  • Wenn Sie eine vorab authentifizierte Anforderung erstellen, die den Geltungsbereich auf Objekte mit einem bestimmten Präfix beschränkt, können Anforderungsbenutzer GET- und PUT-Befehle nur für Objekte mit dem in der Anforderung angegebenen Präfixnamen ausführen. GET und PUT-Befehle für Objekte ohne das angegebene Präfix oder für Objekte mit einem anderen Präfix sind nicht erfolgreich.

  • Das Ziel und die Aktionen für eine vorab authentifizierte Anforderung hängen von den Berechtigungen des Erstellers ab. Die Anforderung ist jedoch nicht an die Accountanmeldedaten des Erstellers gebunden. Wenn sich die Zugangsdaten des Erstellers ändern, hat dies keine Auswirkungen auf die vorab authentifizierte Anforderung.

  • Durch das Löschen einer vorab authentifizierten Anforderung wird der Benutzerzugriff auf den zugehörigen Bucket oder das zugehörige Objekt widerrufen.

  • Vorab authentifizierte Anforderungen können nicht zum Löschen von Buckets oder Objekten verwendet werden.

  • Sie können keinen Bucket löschen, mit dem eine vorab authentifizierte Anforderung oder ein Objekt in diesem Bucket verknüpft ist.