Oracle Cloud Infrastructure-Dokumentation

Vorauthentifizierte Anforderungen verwendet

Bei Compute Cloud@Customer können Benutzer mit vorab authentifizierten Anforderungen auf einen Bucket oder ein Objekt zugreifen, ohne eigene Zugangsdaten zu haben, sofern der Anforderungsersteller über Berechtigungen für den Zugriff auf diese Objekte verfügt.

Beispiel: Sie können eine Anforderung erstellen, mit der Benutzer Backups mit dem Benutzer Backup in einen Bucket hochladen können, ohne Eigentümer von API-Schlüssel zu sein. Sie können auch eine Anforderung erstellen, mit dem ein Geschäftspartner freigegebene Daten in einem Bucket aktualisieren kann und nicht über API-Schlüssel verfügen muss.

Wenn Sie eine im Voraus authentifizierte Anforderung erstellen, wird eine eindeutige URL generiert. Jeder, dem Sie diese URL bereitstellen, kann mit standardmäßigen HTTP-Tools wie curl und wget über die in der vorab authentifizierte Anforderung angegebenen Object Storage-Ressourcen zugreifen.

Wichtig

Bewerten Sie die Geschäftsanforderungen für den vorab authentisierten Zugriff auf einen Bucket oder Objekte sowie die damit verknüpften Sicherheitsauswirkungen.

Mit einer vorab authentifizierten Anforderungs-URL erhält jeder, der über die URL verfügt, Zugriff auf die in der Anforderung angegebenen Ziele. Gehen Sie bei der Verteilung der URL vorsichtig vor.

Erforderliche Berechtigungen

So erstellen Sie eine vorab authentifizierte Anforderung

Sie benötigen die Berechtigung PAR_MANAGE für den Ziel-Bucket oder das Zielobjekt.

Außerdem benötigen Sie die entsprechenden Berechtigungen für den Zugriffstyp, den Sie erteilen. Beispiel:

  • Wenn Sie eine vorab authentifizierte Anforderung zum Hochladen von Objekten in einen Bucket erstellen, benötigen Sie die Berechtigungen OBJECT_CREATE und OBJECT_OVERWRITE.

  • Wenn Sie eine im Voraus authentifizierte Anforderung für Lese-/Schreibzugriff auf Objekte in einem Bucket erstellen, benötigen Sie die Berechtigungen OBJECT_READ, OBJECT_CREATE und OBJECT_OVERWRITE.

Wichtig

Wenn der Ersteller einer im Voraus authentifizierten Anforderung gelöscht wird oder nach dem Erstellen einer Anforderung die erforderlichen Berechtigungen entzogen werden, funktioniert die Anforderung nicht mehr.

So verwenden Sie eine vorab authentifizierte Anforderung

Die Berechtigungen des Erstellers der vorab authentifizierten Anforderung werden jedes Mal geprüft, wenn Sie eine vorab authentifizierte Anforderung verwenden.

Die im Voraus authentifizierte Anforderung funktioniert nicht mehr, wenn eine der folgenden Situationen vorliegt:

  • Die Berechtigungen des Erstellers der vorab authentifizierten Anforderung wurden geändert.

  • Der Benutzer, der die vorab authentifizierte Anforderung erstellt hat, wird gelöscht.

  • Dem föderierten Benutzer, der die vorauthentifizierte Anforderung erstellt hat, wurden die Benutzerfunktionen, über die er beim Erstellen der Anforderung verfügte, entzogen.

  • Vorab authentifizierte Anforderung ist abgelaufen.

Arten von vorab authentifizierten Anforderungen

Beim Erstellen einer vorab authentifizierten Anforderung haben Sie die folgenden Optionen:

  • Sie können den Namen eines Buckets angeben, für die ein Benutzer einer vorab authentifizierte Anforderung Schreibzugriff besitzt und in den er Objekte hochladen kann.

  • Sie können den Namen eines Objekts angeben, für das ein vorab authentifizierter Anforderungsbenutzer Lesezugriff, Schreibzugriff oder Lese- und Schreibzugriff besitzt.

Geltungsbereich und Constraints

Machen Sie sich mit Geltungsbereich und Constraints in Bezug auf vorab authentifizierte Anforderungen vertraut:

  • Benutzer können den Bucket-Inhalt nicht auflisten.

  • Sie können eine unbegrenzte Anzahl vorab authentifizierter Anforderungen erstellen.

  • Es gibt keine Zeitgrenze für das Ablaufdatum, das Sie festlegen können.

  • Sie können eine vorab authentifizierte Anforderung nicht bearbeiten. Wenn Sie als Antwort auf geänderte Anforderungen auf die Benutzerzugriffsoptionen ändern möchten, müssen Sie eine neue vorab authentisierte Anforderung erstellen.

  • Das Ziel und die Aktionen für eine im Voraus authentifizierte Anforderung hängen von den Berechtigungen des Erstellers ab. Die Anforderung jedoch ist nicht an die Anmeldedaten des Erstellers gebunden. Wenn sich die Anmeldedaten des Erstellers ändern, ist eine vorab authentifizierte Anforderung nicht betroffen.

  • Sie können keinen Bucket löschen, dem eine vorab authentifizierte Anforderung zugeordnet ist, die mit diesem Bucket oder einem Objekt in diesem Bucket verknüpft ist.

Wichtig

Die eindeutige URL, die das System beim Erstellen einer im Voraus authentifizierten Anforderung bereitstellt, ist die einzige Möglichkeit, dass ein Benutzer auf den als Anforderungsziel angegebenen Bucket oder das Objekt zugreifen kann. Kopieren Sie die URL in den dauerhaften Speicher. Die URL wird nur zum Zeitpunkt der Erstellung angezeigt und können später auch nicht abgerufen werden.