事前認証済リクエストの使用
Compute Cloud@Customerでは、リクエスト作成者がオブジェクトへのアクセス権限を持っている場合、事前認証済リクエストによって、ユーザーは独自の資格証明を持たずにバケットまたはオブジェクトにアクセスできるようになります。
たとえば、操作サポート・ユーザーがAPIキーを所有せずにバケットにバックアップをアップロードするリクエストを作成できます。または、ビジネス・パートナがAPIキーを所有せずにバケット内の共有データを更新するリクエストを作成できます。
事前認証済リクエストの作成時に、一意のURLが生成されます。このURLを提供するすべての人は、curlやwgetなどの標準HTTPツールを使用して、事前認証済リクエストで特定されたObject Storageリソースにアクセスできます。
ビジネス要件、およびバケットまたはオブジェクトへの事前認証済アクセスのセキュリティ影響を評価します。
事前認証済リクエストURLは、URLを持つすべてのユーザーに、リクエストで特定されたターゲットへのアクセスを提供します。URLの配布は慎重に管理してください。
必要な権限
事前認証済リクエストを作成するには
ターゲット・バケットまたはオブジェクトに対するPAR_MANAGE権限が必要です。
付与するアクセス・タイプに対して適切な権限も必要です。たとえば:
-
オブジェクトをバケットにアップロードするための事前認証済リクエストを作成する場合は、
OBJECT_CREATEおよびOBJECT_OVERWRITE権限が必要です。 -
Bucket内のオブジェクトに対する読み取り/書き込みアクセスのための事前認証済みリクエストを作成する場合は、
OBJECT_READ、OBJECT_CREATE、およびOBJECT_OVERWRITEアクセス権が必要です。
事前認証済リクエストの作成者がリクエストを作成した後で削除されたり、必要な権限を喪失すると、そのリクエストは機能しなくなります。
事前認証済リクエストを使用するには
事前認証済リクエストを使用するたびに、事前認証済リクエスト作成者の権限がチェックされます。
以下のいずれかが発生すると、認証済みリクエストは機能しなくなります:
-
事前認証済リクエスト・クリエータの権限が変更されました。
-
事前認証済リクエストを作成したユーザーが削除されます。
-
事前認証済リクエストを作成したフェデレーテッド・ユーザーが、そのリクエストを作成したときのユーザー機能を失う
-
事前認証済リクエストの期限が過ぎました。
事前認証済リクエストのタイプ
事前認証済リクエストを作成する場合、次のオプションがあります:
-
事前認証済リクエストのユーザーが書込みアクセス権を持ち、1つ以上のオブジェクトをアップロードできるバケットの名前を指定できます。
-
事前認証済リクエストのユーザーが読み取り、書き込み、または読み取りと書き込みを行うことができるオブジェクトの名前を指定できます。
範囲および制約
事前認証済リクエストに関する次の範囲および制約について理解します:
-
ユーザーは、バケット・コンテンツをリストできません。
-
作成できる事前認証済リクエストの数は無制限です。
-
設定可能な失効日までの時間制限はありません。
-
事前認証済リクエストは編集できません。要件の変更に対応してユーザーのアクセス・オプションを変更する場合は、新しい認証済リクエストを作成する必要があります。
-
事前認証済リクエストのターゲットおよびアクションは、作成者の権限に基づいています。ただし、リクエストは作成者のアカウント・ログイン資格証明にバインドされません。作成者のログイン資格証明が変更されても、事前認証済リクエストには影響しません。
-
バケットまたはそのバケット内のオブジェクトに関連付けられた事前認証済リクエストを持つバケットは、削除できません。
事前認証済リクエストを作成する際にシステムによって提供される一意のURLは、ユーザーがリクエスト・ターゲットとして指定されたバケットまたはオブジェクトにアクセスできる唯一の方法です。URLを耐久ストレージにコピーします。URLは作成時にのみ表示され、後で取得することはできません。