Utilisation de demandes préauthentification
Dans Compute Cloud@Customer, les demandes préauthentifiées permettent aux utilisateurs d'accéder à un seau ou à un objet sans avoir des données d'identification personnelles, sous réserve que le créateur de la demande soit autorisé à accéder à ces objets.
Par exemple, vous pouvez créer une demande qui permet à un utilisateur du soutien technique de charger des sauvegardes dans un seau sans détenir des clés d'API. Vous pouvez aussi créer une demande qui permet à un partenaire d'affaires de mettre à jour des données partagées dans un seau sans détenir des clés d'API.
Lorsque vous créez une demande préauthentifiée, une URL unique est générée. Toute personne à qui vous fournissez cette URL peut accéder aux ressources du stockage d'objets identifiées dans la demande préauthentifiée, à l'aide d'outils HTTP standard tels que curl et wget.
Évaluez les exigences de l'entreprise et les ramifications de sécurité relatives à l'accès préauthentifié à un seau ou à des objets.
Une URL de demande préauthentifiée permet à toute personne qui en dispose d'accéder aux cibles identifiées dans la demande. Gérez la distribution de l'URL.
Permissions requises
Pour créer une demande préauthentifiée
Vous devez disposer de l'autorisation PAR_MANAGE pour le seau ou l'objet cible.
Vous devez également disposer des autorisations appropriées pour le type d'accès que vous accordez. Par exemple :
-
Si vous créez une demande préauthentification pour charger des objets dans un seau, vous devez disposer des autorisations
OBJECT_CREATEetOBJECT_OVERWRITE. -
Si vous créez une demande préauthentifiée pour accéder en lecture/écriture aux objets d'un seau, vous avez besoin des autorisations
OBJECT_READ,OBJECT_CREATEetOBJECT_OVERWRITE.
Si le créateur d'une demande préauthentifiée est supprimé ou perd les autorisations nécessaires après avoir créé la demande, la demande ne fonctionnera plus.
Pour utiliser une demande préauthentifiée
Les autorisations du créateur de la demande préauthentifiée sont vérifiées chaque fois que vous utilisez une demande préauthentifiée.
La demande préauthentifiée ne fonctionne plus si l'un des cas suivants se produit :
-
Les autorisations du créateur de la demande préauthentifiée ont été modifiées.
-
L'utilisateur qui a créé la demande préauthentifiée est supprimé.
-
Un utilisateur fédéré qui a créé la demande préauthentification a perdu les capacités d'utilisateur qu'il avait lors de la création de la demande.
-
La demande préauthentifiée a expiré.
Types de demandes préauthentifiées
Lors de la création d'une demande préauthentifiée, vous disposez des options suivantes :
-
Vous pouvez spécifier le nom d'un compartiment dans lequel l'utilisateur d'une demande préauthentifiée a un accès en écriture et dans lequel il peut charger un ou plusieurs objets.
-
Vous pouvez spécifier le nom d'un objet pour lequel l'utilisateur d'une demande préauthentifiée a la possibilité de lire, d'écrire ou de partir.
Portée et contraintes
Vous devez tenir compte de la portée et des contraintes suivantes concernant les demandes préauthentifiées :
-
Les utilisateurs ne peuvent pas répertorier le contenu d'un seau.
-
Vous pouvez créer un nombre illimité de demandes préauthentifiées.
-
Il n'y a pas de limite de temps à la date d'expiration que vous pouvez définir.
-
Vous ne pouvez pas modifier une demande préauthentifiée. Si vous voulez modifier les options d'accès d'utilisateur pour répondre à l'évolution des besoins, vous devez créer une nouvelle demande préauthentifiée.
-
Les cibles et les actions d'une demande préauthentifiée sont basées sur les autorisations du créateur. Toutefois, la demande n'est pas liée aux données d'identification de connexion du créateur. Si les données d'identification de connexion du créateur sont modifiées, cela n'a aucune incidence sur une demande préauthentifiée.
-
Vous ne pouvez pas supprimer un seau si une demande préauthentifiée est associée à ce seau ou à un objet de celui-ci.
L'URL unique fournie par le système lorsque vous créez une demande préauthentifiée est le seul moyen pour un utilisateur d'accéder au seau ou à l'objet spécifié en tant que cible de la demande. Copiez l'URL pour la stocker durablement. L'URL est affichée uniquement au moment de la création et ne peut pas être récupérée plus tard.