Utilisation de demandes préauthentification
Dans Compute Cloud@Customer, les demandes préauthentifiées permettent aux utilisateurs d'accéder à un seau ou à un objet sans avoir des données d'identification qui leur sont propres, sous réserve que le créateur de la demande dispose des autorisations nécessaires pour accéder à ces objets.
Par exemple, vous pouvez créer une demande qui permet à un utilisateur du soutien technique de charger des sauvegardes dans un compartiment sans détenir des clés d'API. Vous pouvez également créer une demande qui permet à un partenaire d'affaires de mettre à jour des données partagées dans un seau sans détenir des clés d'API.
Lorsque vous créez une demande préauthentifiée, une URL unique est générée. Toute personne à qui vous fournissez cette URL peut accéder aux ressources du stockage d'objets identifiées dans la demande préauthentifiée, à l'aide d'outils HTTP standard tels que curl et wget.
Évaluez les exigences de l'entreprise et les ramifications de sécurité relatives à l'accès préauthentification à un seau ou à des objets.
Une URL de demande préauthentifiée permet à toute personne qui en dispose d'accéder aux cibles identifiées dans la demande. Gérez la distribution de l'URL avec circonspection.
Permissions requises
Pour créer une demande préauthentifiée
Vous devez disposer de l'autorisation PAR_MANAGE pour le seau ou l'objet cible.
Vous devez également disposer des autorisations appropriées pour le type d'accès que vous accordez. Exemple :
-
Si vous créez une demande préauthentifiée pour charger des objets dans un seau, vous devez disposer des autorisations
OBJECT_CREATEetOBJECT_OVERWRITE. -
Si vous créez une demande préauthentifiée pour accéder en lecture et en écriture aux objets d'un seau, vous avez besoin des autorisations
OBJECT_READ,OBJECT_CREATEetOBJECT_OVERWRITE.
Si le créateur d'une demande préauthentifiée est supprimé ou perd les autorisations nécessaires après avoir créé la demande, la demande ne fonctionnera plus.
Pour utiliser une demande préauthentifiée
Les autorisations du créateur de la demande préauthentifiée sont vérifiées chaque fois que vous utilisez une demande préauthentifiée.
La demande préauthentifiée ne fonctionne plus si l'un des cas suivants se produit :
-
Les autorisations du créateur de la demande préauthentifiée ont été modifiées.
-
L'utilisateur qui a créé la demande préauthentifiée est supprimé.
-
Un utilisateur fédéré qui a créé la demande préauthentifiée a perdu les capacités d'utilisateur qu'il avait lors de la création de la demande.
-
La demande préauthentifiée a expiré.
Types de demandes préauthentifiées
Lors de la création d'une demande préauthentifiée, vous disposez des options suivantes :
-
Vous pouvez spécifier le nom d'un seau dans lequel l'utilisateur d'une demande préauthentifiée a un accès en écriture et dans lequel il peut charger un ou plusieurs objets.
-
Vous pouvez spécifier le nom d'un objet pour lequel l'utilisateur d'une demande préauthentifiée a des droits de lecture, d'écriture ou les deux.
Portée et contraintes
Tenez compte de la portée et des contraintes suivantes concernant les demandes préauthentifiées :
-
Les utilisateurs ne peuvent pas répertorier le contenu d'un seau.
-
Vous pouvez créer un nombre illimité de demandes préauthentifiées.
-
Il n'y a pas de limite de temps à la date d'expiration que vous pouvez définir.
-
Vous ne pouvez pas modifier une demande préauthentifiée. Si vous voulez modifier les options d'accès d'utilisateur pour répondre à l'évolution des besoins, vous devez créer une nouvelle demande préauthentifiée.
-
Les cibles et les actions d'une demande préauthentifiée sont basées sur les autorisations du créateur. Toutefois, la demande n'est pas liée aux données d'identification de connexion du compte du créateur. Si les données d'identification de connexion du créateur changent, une demande préauthentifiée n'est pas affectée.
-
Vous ne pouvez pas supprimer un compartiment qui a une demande préauthentifiée associée à ce compartiment ou à un objet de ce compartiment.
L'URL unique fournie par le système lorsque vous créez une demande préauthentifiée est le seul moyen pour un utilisateur d'accéder au compartiment ou à l'objet spécifié en tant que cible de la demande. Copiez l'URL pour la stocker durablement. L'URL est affichée uniquement au moment de la création et ne peut pas être récupérée plus tard.