Documentation Oracle Cloud Infrastructure

Utilisation de demandes non authentifiées

Sur Compute Cloud@Customer, les demandes pré-authentifiées permettent aux utilisateurs d'accéder à un bucket ou à un objet sans utiliser leurs propres informations d'identification, tant que le créateur de la demande dispose des droits d'accès à ces objets.

Par exemple, vous pouvez créer une demande qui permet à un utilisateur du support opérationnel de télécharger des sauvegardes vers un bucket sans être propriétaire des clés d'API. Vous pouvez également créer une demande qui permet à un partenaire commercial de mettre à jour des données partagées dans un bucket sans être propriétaire des clés d'API.

Lorsque vous créez une demande préauthentifiée, une URL unique est générée. Toute personne à qui vous fournissez cette URL peut accéder aux ressources Object Storage identifiées dans la demande pré-authentifiée, à l'aide d'outils HTTP standard tels que curl et wget.

Important

Evaluez les besoins de l'entreprise et les implications de sécurité concernant l'accès pré-authentifié à un bucket ou à des objets.

Une URL de demande préauthentifiée fournit à toute personne disposant de l'URL accès aux cibles identifiées dans la demande. Gérez la diffusion de l'URL avec précaution.

Droits d'accès requis

Procédure de création d'une demande pré-authentifiée

Vous avez besoin du droit d'accès PAR_MANAGE sur le bucket ou l'objet cible.

Vous devez également disposer des autorisations appropriées pour le type d'accès que vous accordez. Exemple :

  • Si vous créez une demande pré-authentifiée pour le téléchargement d'objets vers un bucket, vous devez disposer des droits d'accès OBJECT_CREATE et OBJECT_OVERWRITE.

  • Si vous créez une demande pré-authentifiée pour l'accès en lecture/écriture aux objets d'un bucket, vous devez disposer des droits d'accès OBJECT_READ, OBJECT_CREATE et OBJECT_OVERWRITE.

Important

Si le créateur d'une demande pré-authentifiée est supprimé ou perd les droits d'accès requis après la création de la demande, cette dernière ne fonctionnera plus.

Procédure d'utilisation d'une demande pré-authentifiée

Les droits d'accès du créateur de la demande pré-authentifiée sont vérifiés chaque fois que vous utilisez une demande pré-authentifiée.

La demande pré-authentifiée ne fonctionne plus si l'un des événements suivants se produit :

  • Les droits d'accès du créateur de la demande pré-authentifiée ont été modifiés.

  • L'utilisateur ayant créé la demande pré-authentifiée est supprimé.

  • Un utilisateur fédéré qui a créé la demande préauthentifiée a perdu les fonctionnalités utilisateur dont il disposait lors de la création de la demande.

  • La demande pré-authentifiée a expiré.

Types de demandes pré-authentifiées

Lors de la création d'une demande pré-authentifiée, vous disposez des options suivantes :

  • Vous pouvez indiquer le nom d'un bucket auquel un utilisateur de demande pré-authentifiée a accès en écriture et vers lequel il peut télécharger des objets.

  • Vous pouvez indiquer le nom d'un objet auquel un utilisateur de demande pré-authentifiée a accès en lecture et/ou en écriture.

Champ d'application et contraintes

Examinez la portée et les contraintes suivantes en matière de demandes pré-authentifiées :

  • Les utilisateurs ne peuvent pas répertorier le contenu des buckets.

  • Vous pouvez créer un nombre illimité de demandes pré-authentifiées.

  • La date d'expiration que vous pouvez définir n'est pas limitée dans le temps.

  • Vous ne pouvez pas modifier une demande pré-authentifiée. Si vous voulez modifier les options d'accès utilisateur en fonction de l'évolution des exigences, vous devez créer une demande pré-authentifiée.

  • La cible et les actions pour une demande pré-authentifiée dépendent des droits d'accès du créateur. Cependant, la demande n'est pas liée aux informations d'identification de connexion du compte du créateur. Si les informations d'identification de connexion du créateur sont modifiées, la demande pré-authentifiée n'est pas affectée.

  • Vous ne pouvez pas supprimer un bucket auquel une demande pré-authentifiée est associée ou qui comporte un objet.

Important

L'URL unique fournie par le système lors de la création d'une demande pré-authentification est la seule façon dont un utilisateur peut accéder au bucket ou à l'objet indiqué comme cible de la demande. Copiez l'URL vers un emplacement de stockage durable. L'URL est affichée uniquement lors de la création et ne peut pas être extraite ultérieurement.