Uso di richieste preautenticazione
In Compute Cloud@Customer, le richieste preautenticate offrono un modo per consentire agli utenti di accedere a un bucket o a un oggetto senza disporre delle proprie credenziali, a condizione che l'autore della richiesta disponga delle autorizzazioni per accedere a tali oggetti.
Ad esempio, puoi creare una richiesta che consenta a un utente che supporta le operazioni di caricare i backup in un bucket senza possedere chiavi API. In alternativa, puoi creare una richiesta che consenta a un business partner di aggiornare i dati condivisi in un bucket senza possedere chiavi API.
Quando si crea una richiesta preautenticata, viene generato un URL univoco. Chiunque fornisca questo URL può accedere alle risorse di storage degli oggetti identificate nella richiesta preautenticata, utilizzando strumenti HTTP standard come curl e wget.
Valutare i requisiti aziendali e le ramificazioni in termini di sicurezza dell'accesso preautenticato a uno o più bucket.
Un URL di richiesta preautenticata consente a chiunque disponga dell'accesso URL alle destinazioni identificate nella richiesta. Gestire con attenzione la distribuzione dell'URL.
Autorizzazioni necessarie
Per creare una richiesta preautenticata
È necessaria l'autorizzazione PAR_MANAGE per il bucket o l'oggetto di destinazione.
È inoltre necessario disporre delle autorizzazioni appropriate per il tipo di accesso che si concede. Ad esempio:
-
Se si sta creando una richiesta preautenticata per il caricamento degli oggetti in un bucket, sono necessarie le autorizzazioni
OBJECT_CREATEeOBJECT_OVERWRITE. -
Se si sta creando una richiesta preautenticata per l'accesso in lettura/scrittura agli oggetti in un bucket, sono necessarie le autorizzazioni
OBJECT_READ,OBJECT_CREATEeOBJECT_OVERWRITE.
Se l'autore di una richiesta preautenticata viene eliminato o perde le autorizzazioni necessarie dopo la creazione della richiesta, la richiesta non funzionerà più.
Per utilizzare una richiesta preautenticata
Le autorizzazioni del creatore della richiesta preautenticata vengono controllate ogni volta che si utilizza una richiesta preautenticata.
La richiesta preautenticata non funziona più quando si verifica una delle condizioni riportate di seguito.
-
Le autorizzazioni del creatore della richiesta preautenticata sono state modificate.
-
L'utente che ha creato la richiesta preautenticata è stato eliminato.
-
Un utente federato che ha creato la richiesta preautenticata ha perso le capacità utente di cui disponeva quando ha creato la richiesta.
-
La richiesta preautenticata è scaduta.
Tipi di richieste preautenticate
Quando si crea una richiesta preautenticata, sono disponibili le opzioni riportate di seguito.
-
Puoi specificare il nome di un bucket a cui un utente di richiesta preautenticata dispone dell'accesso in scrittura e in cui può caricare uno o più oggetti.
-
È possibile specificare il nome di un oggetto da cui un utente di richiesta preautenticata può leggere, scrivere o leggere e scrivere.
Ambito e vincoli
Comprendere l'ambito e i vincoli riportati di seguito relativi alle richieste preautenticate.
-
Gli utenti non possono elencare il contenuto del bucket.
-
È possibile creare un numero illimitato di richieste preautenticate.
-
Nessun limite di tempo per la data di scadenza che è possibile impostare.
-
Impossibile modificare una richiesta preautenticata. Se si desidera modificare le opzioni di accesso utente in risposta alla modifica dei requisiti, è necessario creare una nuova richiesta preautenticata.
-
La destinazione e le azioni per una richiesta preautenticata si basano sulle autorizzazioni dell'autore. La richiesta non è tuttavia associata alle credenziali di login dell'account dell'autore. Se le credenziali di login dell'autore cambiano, una richiesta preautenticata non viene interessata.
-
Impossibile eliminare un bucket con una richiesta preautenticata associata a tale bucket o a un oggetto in tale bucket.
L'URL univoco fornito dal sistema quando si crea una richiesta preautenticata è l'unico modo in cui un utente può accedere al bucket o all'oggetto specificato come destinazione della richiesta. Copiare l'URL nello storage permanente. L'URL viene visualizzato solo al momento della creazione e non può essere recuperato in seguito.