事前認証済みリクエストの使用
Compute Cloud@Customerでは、リクエスト作成者がオブジェクトへのアクセス権限を持っている場合、事前認証済みリクエストによって、ユーザーは独自の資格証明を持たずにバケットまたはオブジェクトにアクセスできるようになります。
たとえば、操作サポート・ユーザーがAPIキーを所有せずにバケットにバックアップをアップロードできるようにするリクエストを作成できます。または、ビジネス・パートナがAPIキーを所有せずにバケット内の共有データを更新するリクエストを作成できます。
事前認証済みリクエストの作成時に、一意のURLが生成されます。このURLを提供するすべてのユーザーは、curl、wgetなどの標準HTTPツールを使用して、事前認証済みリクエストで特定されたオブジェクト・ストレージ・リソースにアクセスできます。
バケットまたはオブジェクトへの事前認証済みアクセスのビジネス要件およびセキュリティの影響を評価します。
事前認証済のリクエストURLでは、URLを持っているユーザーに、リクエストで特定されたターゲットへのアクセスを提供します。URLの配布は慎重に管理してください。
必要なアクセス権
事前認証済リクエストを作成するには
ターゲット・バケットまたはオブジェクトに対するPAR_MANAGE権限が必要です。
また、付与するアクセス・タイプに対する適切な権限も必要です。たとえば:
-
バケットにオブジェクトをアップロードするための事前認証済リクエストを作成する場合は、
OBJECT_CREATEおよびOBJECT_OVERWRITE権限が必要です。 -
バケット内のオブジェクトに対する読取り/書込みアクセスのための事前認証済みリクエストを作成する場合は、
OBJECT_READ、OBJECT_CREATEおよびOBJECT_OVERWRITE権限が必要です。
事前認証済リクエストの作成者が、リクエストの作成後に削除されたり、必要な権限を喪失すると、そのリクエストは機能しません。
事前認証済リクエストを使用するには
事前認証済リクエスト作成者の権限は、事前認証済リクエストを使用するたびにチェックされます。
次のいずれかが発生すると、事前認証済みリクエストは機能しなくなります:
-
事前認証済リクエスト作成者の権限が変更されました。
-
事前認証済リクエストを作成したユーザーが削除されます。
-
事前認証済みリクエストを作成したフェデレーテッド・ユーザーが、そのリクエストを作成したときのユーザー機能を失う。
-
事前認証済リクエストの有効期限が切れました。
事前認証済リクエストのタイプ
事前認証済リクエストを作成する場合、次のオプションがあります:
-
事前認証済みリクエストのユーザーが書込みアクセス権を持ち、1つ以上のオブジェクトをアップロードできるバケットの名前を指定できます。
-
事前認証済のリクエスト・ユーザーが、読取り、書込みまたは読取りと書込みを行うことができるオブジェクトの名前を指定できます。
範囲および制約
事前認証済リクエストに関する次の範囲および制約について理解します:
-
ユーザーは、バケット・コンテンツをリストできません。
-
事前認証済リクエストの数は無制限で作成できます。
-
設定可能な有効期限日までの時間制限はありません。
-
事前認証済リクエストは編集できません。要件の変更に対応してユーザー・アクセス・オプションを変更する場合は、新しい事前認証済みリクエストを作成する必要があります。
-
事前認証済みリクエストのターゲットおよびアクションは、作成者の権限に基づきます。ただし、リクエストは作成者のアカウント・ログイン資格証明にバインドされていません。作成者のログイン資格証明が変更された場合、事前認証済リクエストは影響を受けません。
-
バケットまたはそのバケット内のオブジェクトに関連付けられた事前認証済みリクエストを持つバケットは、削除できません。
事前認証済リクエストを作成する際にシステムによって提供される一意のURLは、ユーザーがリクエスト・ターゲットとして指定されたバケットまたはオブジェクトにアクセスできる唯一の方法です。URLを耐久ストレージにコピーします。URLは作成時のみ表示され、後で取得することはできません。