Dettagli per lo storage degli oggetti e lo storage di archivio
In questo argomento vengono descritti i dettagli relativi alla scrittura dei criteri per controllare l'accesso allo storage di archivio e allo storage degli oggetti.
La funzione Criteri del ciclo di vita degli oggetti richiede che tu conceda le autorizzazioni al servizio di storage degli oggetti per archiviare ed eliminare gli oggetti per tuo conto. Per ulteriori informazioni, vedere Uso dei criteri del ciclo di vita degli oggetti.
Tipi di risorsa
Risorse singole - Tipi
objectstorage-namespaces
buckets
objects
Tipo di risorsa aggregato
object-family
Un criterio che utilizza <verb> object-family equivale a scriverne uno con un'istruzione <verb> <individual resource-type> separata per ciascuno dei singoli tipi di risorsa.
Per i dettagli delle operazioni API coperte da ciascun verbo, vedere la tabella in Dettagli per le combinazioni di verbi + tipi di risorsa per ogni singolo tipo di risorsa incluso in object-family.
Variabili supportate
Lo storage degli oggetti supporta tutte le variabili generali (vedere Variabili generali per tutte le richieste), oltre a quelle elencate di seguito.
| Operazioni per questo tipo di risorsa... | Può utilizzare questa variabile | Tipo di variabile | commenti |
|---|---|---|---|
buckets e objects
|
target.bucket.name
|
Stringa | Utilizzare questa variabile per controllare l'accesso a un bucket specifico. Per un criterio di esempio, vedere Consenti agli utenti della scrittura di oggetti nei bucket di storage degli elementi. Importante: la corrispondenza delle condizioni non fa distinzione tra maiuscole e minuscole. Se si dispone di un bucket denominato "BucketA" e di un bucket denominato "bucketA", la condizione where target.bucket.name="BucketA" si applica a entrambi. Per evitare potenziali problemi con i nomi delle risorse nel criterio, assegnare nomi distinti alle risorse. |
buckets e objects
|
target.bucket.tag.<TagNamespace>.<TagKeyDefinition>
|
Stringa | Utilizzare questa variabile per controllare l'accesso ai bucket che dispongono della tag specifica. Vedere Consenti agli utenti della scrittura di oggetti nei bucket di storage degli elementi.
Importante: non è possibile utilizzare questa variabile per le operazioni e le operazioni |
Le variabili
request.ipv4.ipaddress e request.vcn.id non sono più valide. Anziché utilizzare queste variabili, creare un'origine di rete per specificare un intervallo di indirizzi IP o un ID VCN specifico. È quindi possibile utilizzare l'origine di rete nel criterio per limitare l'accesso solo alle richieste provenienti dalle reti consentite. Per ulteriori informazioni, vedere Panoramica delle origini di rete.Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le operazioni autorizzazioni e API coperte da ciascun verbo. Il livello di accesso è cumulativo come si va da inspect > read > use > manage. Ad esempio, un gruppo che può utilizzare una risorsa può anche ispezionare e leggere tale risorsa. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.
Per tipi di risorse object-family
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| leggi |
Nessuno |
GetNamespace
|
nessuno |
| gestisci |
OBJECTSTORAGE_NAMESPACE_READ OBJECTSTORAGE_NAMESPACE_UPDATE |
|
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
BUCKET_INSPECT |
|
nessuno |
| leggi |
ISPEZIONA + BUCKET_READ |
ISPEZIONA +
|
nessuno |
| usa |
LEGGI + BUCKET_UPDATE |
LEGGI +
|
PutObjectLifecyclePolicy
|
| gestisci |
USE + BUCKET_CREATE BUCKET_DELETE PAR_MANAGE RETENTION_RULE_MANAGE RETENTION_RULE_LOCK (se si utilizza il blocco delle regole facoltativo) |
USE +
|
|
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
OBJECT_INSPECT |
|
nessuno |
| leggi |
ISPEZIONA + OBJECT_READ |
ISPEZIONA +
|
nessuno |
| usa |
LEGGI + OBJECT_OVERWRITE |
LEGGI +
|
LEGGI +
|
| gestisci |
USE + OBJECT_CREATE OBJECT_DELETE OBJECT_VERSION_DELETE OBJECT_RESTORE OBJECT_UPDATE_TIER |
USE +
|
|
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.
Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
GetNamespace
|
L'API non richiede autorizzazioni e restituisce lo spazio di nomi del chiamante. Utilizzare l'API per convalidare le credenziali. L'autorizzazione OBJECTSTORAGE_NAMESPACE_READ è obbligatoria se si include il parametro |
GetNamespaceMetadata
|
OBJECTSTORAGE_NAMESPACE_READ |
UpdateNamespaceMetadata
|
OBJECTSTORAGE_NAMESPACE_UPDATE |
CreateBucket
|
BUCKET_CREATE |
UpdateBucket
|
BUCKET_UPDATE |
GetBucket
|
BUCKET_READ |
HeadBucket
|
BUCKET_INSPECT |
ListBuckets
|
BUCKET_INSPECT |
DeleteBucket
|
BUCKET_DELETE |
ReencryptBucket
|
BUCKET_UPDATE |
PutObject
|
L'autorizzazione richiesta dipende dal fatto che l'oggetto esista già nel bucket:
|
RenameObject
|
OBJECT_CREATE e OBJECT_OVERWRITE |
GetObject
|
OBJECT_READ |
HeadObject
|
OBJECT_READ o OBJECT_INSPECT |
DeleteObject
|
OBJECT_DELETE |
DeleteObjectVersion
|
OBJECT_VERSION_DELETE |
ListObjects
|
OBJECT_INSPECT |
ReencryptObject
|
OBJECT_READ & OBJECT_OVERWRITE |
RestoreObjects
|
OBJECT_RESTORE |
UpdateObjectStorageTier
|
OBJECT_UPDATE_TIER |
CreateMultipartUpload
|
OBJECT_CREATE e OBJECT_OVERWRITE |
UploadPart
|
OBJECT_CREATE e OBJECT_OVERWRITE |
CommitMultipartUpload
|
OBJECT_CREATE e OBJECT_OVERWRITE |
ListMultipartUploadParts
|
OBJECT_INSPECT |
ListMultipartUploads
|
BUCKET_READ |
AbortMultipartUpload
|
OBJECT_DELETE |
CreatePreauthenticatedRequest
|
PAR_MANAGE |
GetPreauthenticatedRequest
|
PAR_MANAGE o BUCKET_READ |
ListPreauthenticatedRequests
|
PAR_MANAGE o BUCKET_READ |
DeletePreauthenticatedRequest
|
PAR_MANAGE |
PutObjectLifecyclePolicy
|
BUCKET_UPDATE, OBJECT_CREATE e OBJECT_DELETE |
GetObjectLifecyclePolicy
|
BUCKET_READ |
DeleteObjectLifecyclePolicy
|
BUCKET_UPDATE |
CreateRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE (& RETENTION_RULE_LOCK) |
GetRetentionRule
|
BUCKET_READ |
ListRetentionRule
|
BUCKET_READ |
UpdateRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE (& RETENTION_RULE_LOCK) |
DeleteRetentionRule
|
BUCKET_UPDATE & RETENTION_RULE_MANAGE |
CreateCopyRequest
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE e OBJECT_INSPECT |
GetWorkRequest
|
OBJECT_READ |
ListWorkRequests
|
OBJECT_INSPECT |
CancelWorkRequest
|
OBJECT_DELETE |
CreateReplicationPolicy
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, OBJECT_RESTORE, BUCKET_READ e BUCKET_UPDATE |
GetReplicationPolicy
|
BUCKET_READ |
DeleteReplicationPolicy
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, OBJECT_RESTORE, BUCKET_READ e BUCKET_UPDATE |
ListReplicationPolicies
|
BUCKET_READ |
ListReplicationSources
|
BUCKET_READ |
MakeBucketWritable
|
OBJECT_READ, OBJECT_CREATE, OBJECT_OVERWRITE, OBJECT_INSPECT, OBJECT_DELETE, BUCKET_READ e BUCKET_UPDATE |