Uso de solicitudes preautenticadas
En Compute Cloud@Customer, las solicitudes autenticadas previamente permiten a los usuarios acceder a un cubo o a un objeto sin tener sus propias credenciales, siempre que el creador de la solicitud tenga permisos para acceder a dichos objetos.
Por ejemplo, puede crear una solicitud que permita a un usuario cargar copias de seguridad en un cubo sin poseer claves de API. También puede crear una solicitud que permita a un partner de negocio actualizar datos compartidos en un cubo sin que tenga las claves de API.
Al crear una solicitud autenticada previamente, se genera una URL única. Cualquier persona a la que proporcione esta URL puede acceder a los recursos de Object Storage identificados en la solicitud autenticada previamente utilizando herramientas HTTP estándar como curl y wget.
Evaluar el requisito de negocio y las ramificaciones de seguridad del acceso autenticado previamente a un cubo o a objetos.
La URL de solicitud autenticada previamente proporciona a cualquier usuario que tenga acceso URL a los destinos identificados en la solicitud. Gestione cuidadosamente la distribución de la URL.
permisos necesarios
Para crear una solicitud autenticada previamente
Necesita el permiso PAR_MANAGE para el cubo u objeto de destino.
También debe tener los permisos correspondientes para el tipo de acceso que está otorgando. Por ejemplo:
-
Si va a crear una solicitud autenticada previamente para cargar objetos en un cubo, necesitará los permisos
OBJECT_CREATEyOBJECT_OVERWRITE. -
Si va a crear una solicitud autenticada previamente para el acceso de lectura/ escritura a los objetos de un cubo, necesitará los permisos
OBJECT_READ,OBJECT_CREATEyOBJECT_OVERWRITE.
Si el creador de una solicitud autenticada previamente se elimina o pierde los permisos necesarios después de crear la solicitud, la solicitud dejará de funcionar.
Para usar una solicitud autenticada previamente
Los permisos del creador de solicitudes autenticadas previamente se comprueban cada vez que se utiliza una solicitud autenticada previamente.
La solicitud autenticada previamente ya no funciona si se produce alguna de las siguientes situaciones:
-
Los permisos del creador de la solicitud autenticada previamente han cambiado.
-
Se suprime el usuario que creó la solicitud autenticada previamente.
-
Un usuario federado que ha creado la solicitud autenticada previamente ha perdido las capacidades de usuario con las que se creó la solicitud.
-
La solicitud autenticada previamente caducó.
Tipos de Solicitudes Preautenticadas
Al crear una solicitud autenticada previa, tiene las siguientes opciones:
-
Puede especificar el nombre de un cubo al que un usuario de la solicitud autenticada previamente tiene acceso de escritura y puede cargar uno o más objetos en él.
-
Puede especificar el nombre de un objeto que un usuario de la solicitud autenticada previamente puede utilizar como origen o destino de escritura o lectura.
Ámbito y restricciones
Comprenda el siguiente ámbito y las restricciones relacionados con las solicitudes preautenticadas:
-
Los usuarios no pueden mostrar el contenido del cubo.
-
Puede crear un número ilimitado de solicitudes autenticadas previamente.
-
No hay límite de tiempo para la fecha de caducidad que puede definir.
-
No puede editar una solicitud autenticada previamente. Si desea cambiar las opciones de acceso de los usuarios en respuesta a los requisitos, debe crear una nueva solicitud autenticada previamente.
-
El destino y las acciones para una solicitud autenticada previamente se basan en los permisos del creador. Sin embargo, la solicitud no está enlazada a las credenciales de inicio de sesión de la cuenta del creador. Si las credenciales de inicio de sesión del creador cambian, una solicitud autenticada previamente no se verá afectada.
-
No se puede eliminar un cubo que tenga una solicitud autenticada previamente asociada a ese cubo o con un objeto de ese cubo.
La URL única proporcionada por el sistema cuando crea una solicitud autenticada previamente es la única forma en la que un usuario puede acceder al cubo u objeto especificado como destino de la solicitud. Copie la dirección URL en un almacenamiento duradero. La URL se muestra solo en el momento de la creación y no se puede recuperar posteriormente.