Documentation Oracle Cloud Infrastructure

Demandes pré-authentification Object Storage

Découvrez comment utiliser la fonctionnalité de demande pré-authentifiée pour permettre aux utilisateurs d'accéder à un bucket ou à un objet sans avoir à fournir leurs informations d'identification de connexion.

Les demandes pré-authentifiées permettent aux utilisateurs d'accéder à un bucket ou à un objet sans utiliser leurs propres informations d'identification. Les utilisateurs continuent d'avoir accès au bucket ou à l'objet tant que le créateur de la demande dispose des droits d'accès nécessaires pour accéder à ces ressources. Par exemple, vous pouvez créer une demande qui permet à un utilisateur du support opérationnel de télécharger des sauvegardes vers un bucket sans être propriétaire des clés d'API. Vous pouvez également créer une demande qui permet à un partenaire commercial d'accéder à tous vos rapports financiers trimestriels dans un bucket sans être propriétaire de clés d'API.

Lorsque vous créez une demande pré-authentifiée, une URL unique est générée. Toute personne à qui vous fournissez cette URL peut accéder aux ressources Object Storage identifiées dans la demande pré-authentifiée, à l'aide d'outils HTTP standard tels que curl et wget.

Important

Evaluez les besoins de l'entreprise en matière d'accès pré-authentifié à un bucket ou à des objets. Une URL de demande pré-authentifiée fournit à toute personne disposant de l'URL accès aux cibles identifiées dans la demande. Gérez la diffusion de l'URL avec précaution.

Vous pouvez effectuer les tâches de demande pré-authentifiée suivantes :

Droits d'accès requis

Création d'une demande pré-authentifiée

Pour créer ou gérer des demandes pré-authentifiées, vous devez disposer du droit d'accès PAR_MANAGE sur le bucket cible.

Bien que vous ayez uniquement besoin du droit d'accès PAR_MANAGE pour créer une demande pré-authentification, vous devez également disposer des droits d'accès appropriés pour le type d'accès que vous accordez. Par exemple :

  • Si vous créez une demande pré-authentifiée pour le téléchargement d'objets vers un bucket, vous devez également disposer des droits d'accès OBJECT_CREATE et OBJECT_OVERWRITE, ainsi que de PAR_MANAGE.

  • Si vous créez une demande pré-authentification pour l'accès en lecture/écriture aux objets d'un bucket, vous devez disposer des droits d'accès OBJECT_READ, OBJECT_CREATE et OBJECT_OVERWRITE, en plus de PAR_MANAGE.

Important

Si le créateur d'une demande pré-authentification est supprimé ou perd les droits d'accès requis après la création de la demande, cette dernière ne fonctionne plus.

Utilisation d'une demande préauthentifiée

Les droits d'accès du créateur de la demande pré-authentifiée sont vérifiés chaque fois que vous utilisez une demande pré-authentifiée. La demande pré-authentifiée ne fonctionne plus si l'un des événements suivants se produit :

  • Les droits d'accès du créateur de la demande pré-authentifiée ont été modifiés.

  • L'utilisateur qui a créé la demande pré-authentifiée est supprimé.

  • L'utilisateur fédéré qui a créé la demande pré-authentifiée a perdu les fonctionnalités utilisateur en sa possession lors de la création de la demande.

  • La demande pré-authentifiée a expiré ou a été supprimée.

Options

Vous pouvez créer une demande pré-authentifiée qui accorde un accès en lecture, en écriture ou en lecture/écriture à l'un des éléments suivants :

  • Tous les objets du bucket.

  • Un objet particulier du bucket.

  • Tous les objets du bucket comportant un préfixe indiqué.

Pour les demandes qui s'appliquent à plusieurs objets, vous pouvez également décider de permettre aux utilisateurs de répertorier ces objets.

Portée et contraintes

Examinez la portée et les contraintes suivantes en matière de demandes pré-authentifiées :

  • Vous pouvez créer un nombre illimité de demandes pré-authentifiées.

  • Une demande pré-authentifiée créée pour tous les objets d'un bucket permet aux utilisateurs de la demande de télécharger un nombre illimité d'objets vers le bucket.

  • La date d'expiration est requise, mais ne comporte aucune limite. Vous pouvez la définir aussi loin que vous le voulez.

  • Vous ne pouvez pas modifier une demande pré-authentifiée. Pour modifier les options d'accès utilisateur ou activer la liste des objets en fonction d'une modification des exigences, vous devez créer une autre demande pré-authentification.

  • Par défaut, les demandes pré-authentifiées pour un bucket ou des objets comportant un préfixe ne peuvent pas être utilisées pour répertorier les objets. Vous pouvez activer explicitement la liste des objets lorsque vous créez une demande pré-authentifiée.

  • Lorsque vous créez une demande pré-authentifiée qui limite la portée aux objets avec un préfixe spécifique, les utilisateurs de la demande peuvent uniquement exécuter des demandes GET et PUT sur les objets comportant le nom de préfixe indiqué dans la demande. Les tentatives d'exécution de demande GET ou PUT sur un objet sans le préfixe indiqué ou avec un autre préfixe échouent.

  • La cible et les actions pour une demande pré-authentifiée dépendent des droits d'accès du créateur. Cependant, la demande n'est pas liée aux informations d'identification de connexion du compte du créateur. Si les informations d'identification de connexion du créateur sont modifiées, la demande pré-authentification n'est pas affectée.

  • La suppression d'une demande pré-authentifiée révoque l'accès utilisateur au bucket ou à l'objet associé.

  • Les demandes non authentifiées ne peuvent pas être utilisées pour supprimer des buckets ou des objets.

  • Vous ne pouvez pas supprimer un bucket auquel une demande pré-authentification est associée ou qui comporte un objet.