Usando Solicitações Pré-autenticadas

No Compute Cloud@Customer, as solicitações pré-autenticadas fornecem uma forma de permitir que os usuários acessem um bucket ou um objeto sem ter suas próprias credenciais, desde que o criador da solicitação tenha permissões para acessar esses objetos.

Por exemplo, você pode criar uma solicitação que permita que uma operação suporte backups de upload do usuário para um bucket sem chaves de API proprietárias. Como alternativa, você pode criar uma solicitação que permita que um parceiro comercial atualize dados compartilhados em um bucket sem possuir chaves de API.

Quando você cria uma solicitação pré-autenticada, um URL exclusivo é gerado. Qualquer um a quem você forneça esse URL poderá acessar os recursos do Object Storage identificados na solicitação pré-autenticada, usando ferramentas HTTP padrão como curl e wget.

Importante

Avalie o requisito de negócios e as ramificações de segurança do acesso pré-autenticado a um bucket ou objetos.

Um URL de solicitação pré-autenticada fornece a qualquer pessoa que tenha o URL acesso aos destinos identificados na solicitação. Gerencie com cuidado a distribuição do URL.

Permissões Obrigatórias

Para Criar uma Solicitação Pré-autenticada

Você precisa da permissão PAR_MANAGE para o bucket ou objeto de destino.

Você também deve ter as permissões apropriadas para o tipo de acesso que está concedendo. Por exemplo:

  • Se você estiver criando uma solicitação pré-autenticada para fazer upload de objetos para um bucket, precisará das permissões OBJECT_CREATE e OBJECT_OVERWRITE.

  • Se você estiver criando uma solicitação pré-autenticada para acesso de leitura/gravação a objetos em um bucket, precisará das permissões OBJECT_READ, OBJECT_CREATE e OBJECT_OVERWRITE.

Importante

Se o criador de uma solicitação pré-autenticada for excluído ou perder as permissões necessárias após a criação da solicitação, a solicitação deixará mais de funcionar.

Para usar uma solicitação pré-autenticada

As permissões do criador da solicitação pré-autenticada são verificadas sempre que você usa uma solicitação pré-autenticada.

A solicitação pré-autenticada não funciona mais quando um dos seguintes casos ocorre:

  • As permissões do criador da solicitação pré-autenticada foram alteradas.

  • O usuário que criou a solicitação pré-autenticada é excluído.

  • Um usuário federado que criou a solicitação pré-autenticada tiver perdido os recursos de usuário que ele tinha quando criou a solicitação.

  • A solicitação pré-autenticada expirou.

Tipos de Solicitações Pré-autenticadas

Ao criar uma solicitação pré-autenticada, você tem as seguintes opções:

  • Você pode especificar o nome de um bucket ao qual um usuário da solicitação pré-autenticada tem acesso de gravação e para o qual pode fazer upload de um ou mais objetos.

  • É possível especificar o nome de um objeto no qual um usuário de solicitação pré-autenticada pode ler, gravar ou ler e gravar.

Escopo e Constraints

Entenda o seguinte escopo e restrições referentes a solicitações pré-autenticadas:

  • Os usuários não podem listar o conteúdo do bucket.

  • É possível criar um número ilimitado de solicitações pré-autenticadas.

  • Não há limite de tempo para a data de expiração que você pode definir.

  • Não é possível editar uma solicitação pré-autenticada. Se quiser alterar as opções de acesso do usuário em resposta à alteração de requisitos, crie uma nova solicitação pré-autenticada.

  • O destino e as ações para uma solicitação pré-autenticada são baseados nas permissões do criador. A solicitação não está, no entanto, vinculada às credenciais de log-in da conta do criador. Se as credenciais de log-in do criador forem alteradas, uma solicitação pré-autenticada não será afetada.

  • Não é possível excluir um bucket que tenha uma solicitação pré-autenticada associada a esse bucket ou a ele.

Importante

O URL exclusivo fornecido pelo sistema quando você cria uma solicitação pré-autenticada é a única forma de um usuário poder acessar o bucket ou objeto especificado como destino da solicitação. Copie o URL para o armazenamento durável. O URL é exibido somente no momento da criação e não pode ser recuperado posteriormente.