リード権限
コンテナへの読み取り操作に対する許可が可能です。
また、HTTPリクエストに含まれるリファラヘッダーを許可することが可能です。
- コンテナに特定のリファラの許可を設定することで、リクエストに該当するリファラが含まれていれば、読み取り可能になります。
- また、リファラの全てを許可している場合はリファラが含まれていないリクエストでも許可されます。
- リファラの許可を設定すると、トークンの認証なしでの読み取りが可能となり、セキュリティのレベルが低下するため推奨しません。
プロジェクトとユーザーに対する許可の設定は、以下のフォーマットで指定します。
複数設定する場合は、カンマで区切って指定します。
設定内容 | 記述方法 |
---|---|
プロジェクトを許可 | {プロジェクトID}:* |
ユーザーを許可 | {プロジェクトID}:{ユーザーID} |
リファラに対する許可の設定は、以下のフォーマットで指定します。
複数設定する場合は、カンマで区切って指定します。
設定内容 | 記述方法 |
---|---|
リファラの全てを許可 | .r:* |
リファラのホストを許可 | .r:{ホスト} |
リファラのドメインを許可 (注1) | .r:.{ドメイン} または .r:*.{ドメイン} |
リファラのホストを拒否 | .r:-{ホスト} |
リファラのドメインを拒否 (注2) | .r:-.{ドメイン} または .r:-*.{ドメイン} |
オブジェクト一覧取得を許可(リファラのACL設定時のみ) | .rlistings |
競合する設定は、後ろの設定のみ有効になるため注意が必要です。
リファラに対する設定で、ドメインを許可かつドメイン内の特定のホストからのリクエストを拒否する例を次に示します。
- 正しい設定
.r:*.test.jp,.r:-server.test.jp
- 誤った設定(リファラのホストが"server.test.jp"の場合でもリクエストが拒否されない)
.r:-server.test.jp,.r:*.test.jp
(注1).r:*.{ドメイン}を指定した場合、.r:.{ドメイン}で登録されます。
(注2).r:-*.{ドメイン}を指定した場合、.r:-.{ドメイン}で登録されます。
ユーザーを許可する場合
Example of Request
curl -i $publicURL/marktwain -X POST -H "X-Container-Read: 412b1ede9e4042d3b81fdb6728576199:ddf0902c56ef42fd9d6a3263b1bb686f" -H "X-Auth-Token: $token"
リファラ複数を許可かつオブジェクト一覧取得を許可する場合
Example of Request
curl -i $publicURL/marktwain -X POST -H "X-Container-Read: .r:server.test.jp,.r:*.co.jp,.rlistings" -H "X-Auth-Token: $token"
リファラのホストを拒否する場合
Example of Request
curl -i $publicURL/marktwain -X POST -H "X-Container-Read: .r:*,.r:-server.test.jp" -H "X-Auth-Token: $token"