Documentación de Oracle Cloud Infrastructure

Solicitudes autenticadas previamente de Object Storage

Obtenga información sobre cómo utilizar la función de solicitud autenticada previamente para proporcionar a los usuarios acceso a un cubo o a un objeto sin haber proporcionado sus credenciales de conexión.

Las solicitudes autenticadas previamente ofrecen un modo de permitir a los usuarios acceder a un cubo o a un objeto sin tener sus propias credenciales. Los usuarios siguen teniendo acceso al cubo o al objeto siempre que el creador de la solicitud tenga permisos para acceder a esos recursos. Por ejemplo, puede crear una solicitud que permita a un usuario cargar copias de seguridad en un cubo sin tener sus propias claves de API. O bien, puede crear una solicitud que permita a un partner acceder a todos los informes financieros trimestrales de un cubo sin tener claves de API.

Al crear una solicitud autenticada previamente, se genera una URL única. Cualquier persona a la que proporcione esta URL puede acceder a los recursos de Object Storage identificados en la solicitud autenticada previamente utilizando herramientas HTTP estándar como curl y wget.

Importante

Evalúe el requisito de negocio para el acceso autenticado previamente a un cubo o a objetos. La URL de solicitud autenticada previamente proporciona a cualquier usuario que tenga acceso de URL a los destinos identificados en la solicitud. Gestione cuidadosamente la distribución de la URL.

Puede realizar las siguientes tareas de solicitud autenticada previamente:

Permisos necesarios

Creación de una solicitud autenticada previamente

Para crear o gestionar solicitudes autenticadas previamente, necesita el permiso PAR_MANAGE para el cubo de destino.

Aunque solo necesita permiso PAR_MANAGE para crear una solicitud autenticada previamente, también debe tener los permisos correspondientes para el tipo de acceso que está otorgando. Por ejemplo:

  • Si va a crear una solicitud autenticada previamente para cargar objetos en un cubo, necesitará los permisos OBJECT_CREATE y OBJECT_OVERWRITE, además de PAR_MANAGE.

  • Si va a crear una solicitud autenticada previamente para el acceso de lectura/ escritura a los objetos de un cubo, necesitará los permisos OBJECT_READ, OBJECT_CREATE y OBJECT_OVERWRITE, además de PAR_MANAGE.

Importante

Si el creador de una solicitud autenticada previamente se elimina o pierde los permisos necesarios después de crear la solicitud, la solicitud ya no funciona.

Uso de una solicitud autenticada previamente

Los permisos del creador de solicitudes autenticadas previamente se comprueban cada vez que utiliza una solicitud autenticada previamente. La solicitud autenticada previamente ya no funciona si se produce alguna de las siguientes situaciones:

  • Cambio de permisos del creador de la solicitud autenticada previamente.

  • Se elimina el usuario que creó la solicitud autenticada previamente.

  • El usuario federado que ha creado la solicitud autenticada previamente ha perdido las capacidades de usuario con las que se creó la solicitud.

  • La solicitud autenticada previamente ha caducado o se ha suprimido.

Opciones

Puede crear una solicitud autenticada previamente que otorgue acceso de lectura, escritura o lectura/escritura a una de las siguientes opciones:

  • Todos los objetos del cubo.

  • Un objeto específico del cubo.

  • Todos los objetos del cubo que tienen un prefijo especificado.

En el caso de las solicitudes que se aplican a varios objetos, también puede decidir si desea permitir a los usuarios mostrar esos objetos en una lista.

Ámbito y restricciones

Comprenda el siguiente ámbito y las restricciones relacionados con las solicitudes autenticadas previamente:

  • Puede crear un número ilimitado de solicitudes autenticadas previamente.

  • Una solicitud autenticada previamente creada para todos los objetos de un cubo permite a los usuarios cargar cualquier número de objetos en el cubo.

  • La fecha de caducidad es necesaria, pero no tiene límites. Puede establecerla en una fecha en el futuro tan lejana como desee.

  • No puede editar una solicitud autenticada previamente. Para cambiar las opciones de acceso de los usuarios o activar la lista de objetos en respuesta a los requisitos, debe crear una nueva solicitud autenticada previamente.

  • Por defecto, las solicitudes autenticadas previamente para un cubo u objetos con prefijo no se pueden utilizar para mostrar objetos. Puede activar explícitamente la lista de objetos al crear una solicitud autenticada previamente.

  • Al crear una solicitud autenticada previamente que limita el ámbito a objetos con un prefijo específico, los usuarios de la solicitud solo pueden realizar GET y PUT en objetos con el nombre de prefijo especificado en la solicitud. Se produce un fallo al intentar realizar GET o PUT en un objeto sin el prefijo especificado o con un prefijo diferente.

  • El destino y las acciones para una solicitud autenticada previamente se basan en los permisos del creador. Sin embargo, la solicitud no está enlazada a las credenciales de conexión de la cuenta del creador. Si las credenciales de inicio de sesión del creador cambian, la solicitud autenticada previamente no se verá afectada.

  • Al suprimir una solicitud autenticada previamente, se revoca el acceso del usuario al cubo o al objeto asociado.

  • Las solicitudes autenticadas previamente no se pueden utilizar para suprimir cubos u objetos.

  • No puede eliminar un cubo que tenga una solicitud autenticada previamente asociada a dicho cubo o con un objeto de ese cubo.