Usando Solicitações Preautenticadas
No Private Cloud Appliance, as solicitações pré-autenticados fornecem uma maneira de permitir que usuários acessem um bucket ou um objeto sem ter suas próprias credenciais, desde que o criador da solicitação tenha permissões para acessar esses objetos.
Por exemplo, você pode criar uma solicitação que permita que uma operação suporte backups do upload de usuário para um bucket sem possuir chaves de API. Ou você pode criar uma solicitação que permita que um parceiro de negócios atualize dados compartilhados em um bucket sem possuir chaves de API.
Quando você cria uma solicitação de pré-autenticação, um URL exclusivo é gerado. Qualquer pessoa que você fornecer este URL pode acessar os recursos do serviço Object Storage identificados na solicitação pré-autenticado, usando ferramentas HTTP padrão como curl e wget.
Avalie os requisitos de negócios e as ramificações de segurança do acesso pré-autenticada a um bucket ou objetos.
Um URL da solicitação pré-autenticado dá a qualquer pessoa que tenha o acesso do URL aos destinos identificados na solicitação. Gerencie com cuidado a distribuição do URL.
Permissões Obrigatórias
Para criar uma solicitação pré-autenticada
Você precisa da permissão PAR_MANAGE para o bucket ou objeto de destino.
Você também deve ter as permissões apropriadas para o tipo de acesso que está concedendo. Por exemplo:
-
Se você estiver criando uma solicitação pré-autenticada para fazer upload de objetos para um bucket, precisará das permissões
OBJECT_CREATEeOBJECT_OVERWRITE. -
Se você estiver criando uma solicitação pré-autenticado para acesso de leitura/gravação a objetos em um bucket, precisará dos privilégios
OBJECT_READ,OBJECT_CREATEeOBJECT_OVERWRITE.
Se o criador de uma solicitação pré-autenticado for excluído ou perder as permissões necessárias após a criação da solicitação, a solicitação não funcionará mais.
Para usar uma solicitação pré-autenticada
As permissões do criador da solicitação pré-autenticada são verificadas toda vez que você usa uma solicitação pré-autenticada.
A solicitação pré-autenticado não funciona mais quando ocorre uma das seguintes situações:
-
As permissões do criador da solicitação pré-autenticada foram alteradas.
-
O usuário que criou a solicitação pré-autenticada foi excluído.
-
Um usuário federado que criou a solicitação pré-autenticado perdeu os recursos do usuário que ele tinha quando criou a solicitação.
-
Solicitação pré-autenticada expirou.
Tipos de Solicitações Pré-autenticadas
Ao criar uma solicitação pré-autenticada, você tem as seguintes opções:
-
Você pode especificar o nome de um bucket no qual um usuário de solicitação pré-autenticado tem acesso para gravação e pode fazer upload de um ou mais objetos.
-
Você pode especificar o nome de um objeto que um usuário de solicitação pré-autenticado pode ler, gravar ou ler e gravar.
Escopo e Restrições
Entenda o seguinte escopo e restrições em relação a solicitações pré-autenticadas:
-
Os usuários não podem listar o conteúdo do bucket.
-
Você pode criar um número ilimitado de solicitações pré-autenticadas.
-
Não há limite de tempo para a data de expiração que você pode definir.
-
Não é possível editar uma solicitação pré-autenticada. Se quiser alterar as opções do acesso de usuário em resposta à alteração dos requisitos, você deverá criar uma nova solicitação pré-autenticado.
-
O destino e ações de uma solicitação pré-autenticado são baseados nas permissões do criador. A solicitação não foi, no entanto, vinculada às credenciais de log-on da conta do criador. Se as credenciais de login do criador forem alteradas, uma solicitação pré-autenticada não será afetada.
-
Você não pode excluir um bucket que tenha uma solicitação pré-autenticado associada a esse bucket ou com um objeto nesse bucket.
O URL exclusivo fornecido pelo sistema quando você cria uma solicitação pré-autenticado é a única maneira de um usuário acessar o bucket ou o objeto especificado como o alvo da solicitação. Copie o URL para o armazenamento durável. O URL só é exibido no momento da criação e não é possível recuperá-lo posteriormente.