Documentazione di Oracle Cloud Infrastructure

Richieste preautenticazione dello storage degli oggetti

Informazioni su come utilizzare la funzione di richiesta preautenticata per consentire agli utenti di accedere a un bucket o a un oggetto senza fornire le credenziali di accesso.

Le richieste preautenticate consentono agli utenti di accedere a un bucket o a un oggetto senza disporre delle proprie credenziali. Gli utenti continuano ad avere accesso al bucket o all'oggetto purché l'autore della richiesta disponga delle autorizzazioni per accedere a tali risorse. Ad esempio, puoi creare una richiesta che consenta a un utente che supporta le operazioni di caricare i backup in un bucket senza possedere chiavi API. In alternativa, puoi creare una richiesta che consenta a un business partner di accedere a tutti i report finanziari trimestrali in un bucket senza possedere chiavi API.

Quando si crea una richiesta preautenticata, viene generato un URL univoco. Chiunque fornisca questo URL può accedere alle risorse di storage degli oggetti identificate nella richiesta preautenticata, utilizzando strumenti HTTP standard come curl e wget.

Importante

Valutare i requisiti aziendali per l'accesso preautenticato a uno o più bucket. Un URL di richiesta preautenticata consente a chiunque disponga dell'accesso URL alle destinazioni identificate nella richiesta. Gestire con attenzione la distribuzione dell'URL.

Task richieste preautenticate

È possibile eseguire i task di richiesta preautenticati riportati di seguito.

Autorizzazioni necessarie

Creazione di una richiesta precedente all'autenticazione

Per creare o gestire richieste preautenticate, è necessario disporre dell'autorizzazione PAR_MANAGE per il bucket di destinazione.

Sebbene sia necessaria solo l'autorizzazione PAR_MANAGE per creare una richiesta preautenticata, è necessario disporre delle autorizzazioni appropriate anche per il tipo di accesso che si sta concedendo. Ad esempio:

  • Se si sta creando una richiesta preautenticata per il caricamento di oggetti in un bucket, sono necessarie le autorizzazioni OBJECT_CREATE e OBJECT_OVERWRITE oltre a PAR_MANAGE.

  • Se si sta creando una richiesta preautenticata per l'accesso in lettura/scrittura agli oggetti in un bucket, sono necessarie le autorizzazioni OBJECT_READ, OBJECT_CREATE e OBJECT_OVERWRITE oltre a PAR_MANAGE.

Importante

Se l'autore di una richiesta preautenticata viene eliminato o perde le autorizzazioni necessarie dopo la creazione della richiesta, la richiesta non funziona più.

Uso di una richiesta precedente all'autenticazione

Le autorizzazioni del creatore della richiesta preautenticata vengono controllate ogni volta che si utilizza una richiesta preautenticata. La richiesta preautenticata non funziona più quando si verifica una delle condizioni riportate di seguito.

  • Le autorizzazioni del creatore della richiesta preautenticata sono state modificate.

  • L'utente che ha creato la richiesta preautenticata è stato eliminato.

  • L'utente federato che ha creato la richiesta preautenticata ha perso le capacità utente di cui disponeva quando ha creato la richiesta.

  • La richiesta preautenticata è scaduta o è stata eliminata.

Opzioni

È possibile creare una richiesta preautenticata che concede l'accesso in lettura, scrittura o lettura/scrittura a uno dei seguenti elementi:

  • Tutti gli oggetti nel bucket.

  • Oggetto specifico nel bucket.

  • Tutti gli oggetti nel bucket con un prefisso specificato.

Per le richieste che si applicano a più oggetti, è inoltre possibile decidere se consentire agli utenti di elencare tali oggetti.

Ambito e vincoli

Comprendere l'ambito e i vincoli riportati di seguito relativi alle richieste preautenticate.

  • È possibile creare un numero illimitato di richieste preautenticate.

  • La lunghezza massima per una richiesta preautenticata, incluso il nome dell'oggetto, è di 3500 byte.

  • Una richiesta preautenticata creata per tutti gli oggetti in un bucket consente agli utenti della richiesta di caricare qualsiasi numero di oggetti nel bucket.

  • La data di scadenza è obbligatoria, ma non ha limiti. È possibile impostare il più lontano in futuro come si desidera.

  • Impossibile modificare una richiesta preautenticata. Per modificare le opzioni di accesso utente o abilitare l'elenco degli oggetti in risposta alla modifica dei requisiti, è necessario creare una nuova richiesta preautenticata.

  • Per impostazione predefinita, le richieste preautenticate per un bucket o gli oggetti con prefisso non possono essere utilizzati per elencare gli oggetti. È possibile abilitare in modo esplicito la lista degli oggetti quando si crea una richiesta preautenticata.

  • Quando si crea una richiesta preautenticata che limita l'ambito agli oggetti con un prefisso specifico, gli utenti della richiesta possono solo gli oggetti GET e PUT con il nome del prefisso specificato nella richiesta. Tentativo di utilizzare GET o PUT per un oggetto senza il prefisso specificato o con un prefisso diverso non riuscito.

  • La destinazione e le azioni per una richiesta preautenticata si basano sulle autorizzazioni dell'autore. La richiesta non è tuttavia associata alle credenziali di accesso dell'account dell'autore. Se le credenziali di accesso dell'autore cambiano, una richiesta preautenticata non viene interessata.

  • L'eliminazione di una richiesta preautenticata comporta la revoca dell'accesso utente al bucket o all'oggetto associato.

  • Le richieste preautenticate non possono essere utilizzate per eliminare bucket o oggetti.

  • Impossibile eliminare un bucket con una richiesta preautenticata associata a tale bucket o a un oggetto in tale bucket.