Uso delle richieste preautenticati
In Compute Cloud@Customer, le richieste preautenticate offrono un modo per consentire agli utenti di accedere a un bucket o a un oggetto senza disporre delle proprie credenziali, a condizione che l'autore della richiesta disponga delle autorizzazioni per accedere a tali oggetti.
Ad esempio, puoi creare una richiesta che consente a un'operazione di supportare i backup dei caricamenti degli utenti in un bucket senza essere proprietario di chiavi API. In alternativa, puoi creare una richiesta che consenta a un partner commerciale di aggiornare i dati condivisi in un bucket senza essere proprietario di chiavi API.
Quando si crea una richiesta preautenticata, viene generato un URL univoco. Chiunque tu fornisca questo URL per accedere alle risorse di storage degli oggetti identificate nella richiesta preautenticata, utilizzando strumenti HTTP standard come curl e wget.
Valutare i requisiti aziendali e le ramificazioni della sicurezza dell'accesso preautenticato a un bucket o a oggetti.
Un URL di richiesta preautenticato consente a chiunque disponga dell'accesso URL alle destinazioni identificate nella richiesta. Gestire con attenzione la distribuzione dell'URL.
Autorizzazioni richieste
Per creare una richiesta preautenticata
È necessaria l'autorizzazione PAR_MANAGE per il bucket o l'oggetto di destinazione.
È inoltre necessario disporre delle autorizzazioni appropriate per il tipo di accesso concesso. Ad esempio:
-
Se si sta creando una richiesta preautenticata per il caricamento di oggetti in un bucket, sono necessarie le autorizzazioni
OBJECT_CREATEeOBJECT_OVERWRITE. -
Se si sta creando una richiesta preautenticata di accesso in lettura/scrittura agli oggetti in un bucket, sono necessarie le autorizzazioni
OBJECT_READ,OBJECT_CREATEeOBJECT_OVERWRITE.
Se l'autore di una richiesta preautenticata viene eliminato o perde le autorizzazioni necessarie dopo la creazione della richiesta, la richiesta non funzionerà più.
Per utilizzare una richiesta preautenticata
Le autorizzazioni dell'autore della richiesta preautenticata vengono controllate ogni volta che si utilizza una richiesta preautenticata.
La richiesta preautenticata non funziona più quando si verifica una delle seguenti condizioni:
-
Le autorizzazioni dell'autore della richiesta preautenticata sono state modificate.
-
L'utente che ha creato la richiesta preautenticata è stato eliminato.
-
Un utente federato che ha creato la richiesta preautenticata ha perso le capacità utente di cui disponeva quando ha creato la richiesta.
-
La richiesta preautenticata è scaduta.
Tipi di richieste preautenticate
Quando si crea una richiesta preautenticata, sono disponibili le opzioni riportate di seguito.
-
È possibile specificare il nome di un bucket a cui un utente di richiesta preautenticata ha accesso in scrittura e può caricare uno o più oggetti.
-
È possibile specificare il nome di un oggetto da cui un utente di richiesta preautenticata può leggere, scrivere o leggere e scrivere.
Ambito e vincoli
Comprendere l'ambito e i vincoli riportati di seguito relativi alle richieste preautenticate.
-
Gli utenti non possono elencare il contenuto del bucket.
-
È possibile creare un numero illimitato di richieste preautenticate.
-
Non è possibile impostare alcun limite di tempo per la data di scadenza.
-
Impossibile modificare una richiesta preautenticata. Se si desidera modificare le opzioni di accesso utente in risposta alle modifiche dei requisiti, è necessario creare una nuova richiesta preautenticata.
-
La destinazione e le azioni per una richiesta preautenticata si basano sulle autorizzazioni dell'autore. La richiesta non è tuttavia associata alle credenziali di login dell'account dell'autore. Se le credenziali di login dell'autore vengono modificate, una richiesta preautenticata non viene interessata.
-
Non è possibile eliminare un bucket a cui è associata una richiesta preautenticata a tale bucket o a un oggetto in tale bucket.
L'URL univoco fornito dal sistema quando si crea una richiesta preautenticata è l'unico modo in cui un utente può accedere al bucket o all'oggetto specificato come destinazione della richiesta. Copia l'URL nello storage permanente. L'URL viene visualizzato solo al momento della creazione e non può essere recuperato in seguito.