Oracle Cloud Infrastructure-Dokumentation

Vorab authentisierte Anforderungen verwenden

In Compute Cloud@Customer bieten vorab authentifizierte Anforderungen eine Möglichkeit, Benutzern den Zugriff auf einen Bucket oder ein Objekt zu ermöglichen, ohne eigene Zugangsdaten zu besitzen, sofern der Anforderungsersteller über Berechtigungen für den Zugriff auf diese Objekte verfügt.

Beispiel: Sie können eine Anforderung erstellen, mit der ein Operations-Supportbenutzer Backups in einen Bucket hochladen kann, ohne über API-Schlüssel zu verfügen. Sie können auch eine Anforderung erstellen, mit der ein Geschäftspartner freigegebene Daten in einem Bucket aktualisieren kann, ohne über API-Schlüssel zu verfügen.

Wenn Sie eine vorauthentifizierte Anforderung erstellen, wird eine eindeutige URL generiert. Jeder Benutzer, dem Sie diese URL bereitstellen, kann mit Standard-HTTP-Tools wie curl und wget auf die in der vorab authentifizierten Anforderung angegebenen Objektspeicherressourcen zugreifen.

Wichtig

Prüfen Sie die Geschäftsanforderungen für den vorab authentifizierten Zugriff auf einen Bucket oder Objekte sowie die damit verbundenen Sicherheitsauswirkungen.

Über eine vorab authentifizierte Anforderungs-URL kann jeder, der über die URL verfügt, auf die in der Anforderung angegebenen Ziele zugreifen. Gehen Sie bei der Verteilung der URL vorsichtig vor.

Erforderliche Berechtigungen

So erstellen Sie vorab authentifizierte Anforderungen:

Sie benötigen die Berechtigung PAR_MANAGE für den Ziel-Bucket oder das Zielobjekt.

Außerdem müssen Sie über die entsprechenden Berechtigungen für den Zugriffstyp verfügen, den Sie erteilen. Beispiele:

  • Wenn Sie eine vorab authentifizierte Anforderung zum Hochladen von Objekten in einen Bucket erstellen, benötigen Sie die Berechtigungen OBJECT_CREATE und OBJECT_OVERWRITE.

  • Wenn Sie eine vorauthentifizierte Anforderung für den Lese- und Schreibzugriff auf Objekte in einem Bucket erstellen, benötigen Sie die Berechtigungen OBJECT_READ, OBJECT_CREATE und OBJECT_OVERWRITE.

Wichtig

Wenn der Ersteller einer im Voraus authentifizierten Anforderung gelöscht wird oder ihm nach dem Erstellen der Anforderung die erforderlichen Berechtigungen verloren gehen, funktioniert die Anforderung nicht mehr.

So verwenden Sie eine vorab authentifizierte Anforderung

Die Berechtigungen des Erstellers der vorab authentifizierten Anforderung werden jedes Mal geprüft, wenn Sie eine vorab authentifizierte Anforderung verwenden.

Die vorab authentifizierte Anforderung funktioniert nicht mehr, wenn eine der folgenden Bedingungen vorliegt:

  • Die Berechtigungen des Erstellers der vorab authentifizierten Anforderung haben sich geändert.

  • Der Benutzer, der die vorab authentifizierte Anforderung erstellt hat, wird gelöscht.

  • Ein föderierter Benutzer, der die vorab authentifizierte Anforderung erstellt hat, hat die Berechtigungen, über die er beim Erstellen der Anforderung verfügte, verloren.

  • Die vorab authentifizierte Anforderung ist abgelaufen.

Typen von vorab authentifizierten Anforderungen

Beim Erstellen einer vorab authentifizierten Anforderung haben Sie folgende Möglichkeiten:

  • Sie können den Namen eines Buckets angeben, für den ein Benutzer einer vorab authentifizierten Anforderung Schreibzugriff hat und in den er Objekte hochladen kann.

  • Sie können den Namen eines Objekts angeben, für das ein Benutzer einer vorab authentifizierten Anforderung Lesezugriff, Schreiben oder Lesen und Schreiben kann.

Geltungsbereich und Constraints

Machen Sie sich mit dem folgenden Geltungsbereich und den Constraints zu vorab authentifizierten Anforderungen vertraut:

  • Benutzer können den Bucket-Inhalt nicht anzeigen.

  • Sie können eine unbegrenzte Anzahl vorab authentifizierter Anforderungen erstellen.

  • Es gibt keine Zeitgrenze für das Ablaufdatum, das Sie festlegen können.

  • Sie können eine vorab authentifizierte Anforderung nicht bearbeiten. Wenn Sie als Reaktion auf geänderte Anforderungen die Benutzerzugriffsoptionen ändern möchten, müssen Sie eine neue vorab authentifizierte Anforderung erstellen.

  • Das Ziel und die Aktionen für eine vorab authentifizierte Anforderung hängen von den Berechtigungen des Erstellers ab. Die Anforderung ist jedoch nicht an die Accountzugangsdaten des Erstellers gebunden. Wenn sich die Zugangsdaten des Erstellers ändern, ist eine vorab authentifizierte Anforderung nicht betroffen.

  • Sie können keinen Bucket löschen, bei dem mit diesem Bucket oder mit dem darin enthaltenen Objekt keine vorab authentifizierte Anforderung verknüpft ist.

Wichtig

Die eindeutige URL, die das System beim Erstellen einer vorab authentifizierten Anforderung bereitstellt, ist die einzige Möglichkeit, mit der ein Benutzer auf den als Anforderungsziel angegebenen Bucket oder das Objekt zugreifen kann. Kopieren Sie die URL in den dauerhaften Speicher. Die URL wird nur beim Erstellen angezeigt und kann später nicht abgerufen werden.