Documentation Oracle Cloud Infrastructure

Utilisation des demandes pré-authentifiée

Sur Compute Cloud@Customer, les demandes pré-authentifiée permettent aux utilisateurs d'accéder à un bucket ou un objet sans avoir leurs propres informations d'identification, tant que ce créateur dispose des droits d'accès à ces objets.

Par exemple, vous pouvez créer une demande qui permet de télécharger des sauvegardes vers un bucket sans qu'il soit propriétaire de clés d'API pour un utilisateur d'opération. Vous pouvez également créer une demande qui permet à un partenaire commercial d'accéder à des données partagées dans un bucket sans être titulaire de clés d'API.

Lorsque vous créez une demande préauthentifiée, une URL unique est générée. Toute personne pour laquelle vous fournissez cette URL peut accéder aux ressources Object Storage identifiées dans la demande pré-authentifiée, à l'aide d'outils HTTP standard tels que curl et wget.

Important

Evaluez les besoins de l'entreprise et les implications de sécurité concernant l'accès pré-authentifiée à un ou plusieurs buckets.

L'URL d'une demande préauthentifiée fournit aux personnes disposant de l'URL un accès aux cibles identifiées dans la demande. Gérez la diffusion de l'URL avec précaution.

Droits d'accès requis

Procédure de création d'une demande pré-authentifiée

Vous devez disposer du droit d'accès PAR_MANAGE sur le bucket ou l'objet cible.

Vous devez également disposer des autorisations appropriées pour le type d'accès que vous accordez. Par exemple :

  • Si vous créez une demande pré-authentifiée pour le téléchargement d'objets vers un bucket, vous avez besoin des droits d'accès OBJECT_CREATE et OBJECT_OVERWRITE.

  • Si vous créez une demande pré-authentifié pour l'accès en lecture/écriture aux objets d'un bucket, vous devez disposer des droits d'accèsOBJECT_READ, OBJECT_CREATE et OBJECT_OVERWRITE.

Important

Si le créateur d'une demande préauthentifiée est supprimé ou perd les droits d'utilisateur requis après la création de la demande, cette dernières ne fonctionnera plus.

Utilisation d'une demande pré-authentifiée

Les droits d'accès du créateur de demande pré-authentifiée sont vérifiés chaque fois que vous utilisez une demande pré-authentifiée.

La demande préauthentifiée ne fonctionne plus si l'un des événements suivants se produit :

  • Les droits d'accès du créateur de la demande pré-authentifiée ont changé.

  • L'utilisateur qui a créé la demande pré-authentifiée est supprimé.

  • L'utilisateur fédéré qui avait créé la demande pré-authentifié a perdu les fonctionnalités utilisateur en Sa possession lors de la création de la demande.

  • La requête pré-authentifiée a expiré.

Types de demande pré-authentifiée

Lors de la création d'une demande pré-authentifiée, vous disposez des options suivantes :

  • Vous pouvez indiquer le nom d'un bucket vers lequel un utilisateur à demande pré-authentifié a accès en écriture et vers lequel vous pouvez télécharger des objets.

  • Vous pouvez indiquer le nom d'un objet à partir duquel un utilisateur de demande pré-authentifiée peut lire, écrire ou lire et écrire.

Portée et contraintes

Familiarisez-vous Avec la portée et les contraintes suivantes concernant les demandes pré-authentifiées :

  • Les utilisateurs ne peuvent pas répertorier le contenu des buckets.

  • Vous pouvez créer un nombre illimité de demandes pré-authentifiées.

  • La date d'expiration que vous pouvez définir n'est pas limitée dans le temps.

  • Vous ne pouvez pas modifier une demande pré-authentifiée. Si vous voulez modifier les options d'accès utilisateur pour refléter la modification des exigences, vous devez créer une demande pré-authentifié.

  • La cible et les actions pour une demande préauthentifiée dépendent des droits d' accès du créateur. Cependant, la requête n'est pas liée aux informations d'identification du compte du créateur. Si les informations d'identification de connexion du créateur changent, aucune demande pré-authentifiée n'est affectée.

  • Vous n'êtes pas autorisé à supprimer un bucket auquel est associée une demande préauthentifiée ou qui comporte un objet dans ce bucket.

Important

L'URL unique fournie par le système lors de la création d'une demande pré-authentifié est la seule façon dont un utilisateur peut accéder au bucket ou à l'objets indiqué comme cible de la demande. Copiez l'URL vers un emplacement de stockage durable. L'URL est affichée uniquement lors de la création et ne peut être extraite ultérieurement.