オブジェクトストレージACLの機能強化に関する要望です。

現行のオブジェクトストレージは、アクセスキー単位でパーミッションを指定できるほか、バケットACLとオブジェクト単位のACLでコンテンツの公開・非公開を設定でき、細やかなアクセス制御ができるようになってきました。

一方、オブジェクトストレージへのAPIアクセスの認可の仕組みはアクセスキーだけなので、重要度の高いコンテンツを保管するバケットのアクセスキーには厳重な管理が必要となる場合も多いでしょう。
アクセスキーの漏えい対策としては短いサイクルで鍵のローテーションを行う方法もありますが、システム構成や運用ポリシによっては、運用負荷の観点からこの手法を採用しにくい場合もあります。

そこで、万が一の事故やミス等によってバケットアクセスキーが流出してしまった場合にも、漏えいしたアクセスキーを悪用しにくくするオプション機能を、追加して頂けないでしょうか。
具体的には、以下いずれかの機能があると、嬉しいです。

(1) バケットへの接続元をさくらインターネット網内に制限する機能
(2) バケットへの接続元をIP範囲指定(ホワイトリスト)で制限する機能
(3) アクセスキー毎に上記(1)ないしは(2)相当のアクセス制御ルールを指定できる機能
(4) 欲を言えば、失効済みのアクセスキーによるアクセス試行やACL違反のAPIアクセスログ(侵害ログ)をバケット内に出力する機能

UIとしては、オブジェクトストレージのコントロールパネルから、チェックボックスやフォーム入力で設定できるものを想定しています。

(オブジェクトストレージAPIないしはS3互換APIで条件指定できれば、ありがたいです。)