Diese Seite wurde von der Cloud Translation API übersetzt.

Signatur einer genehmigten Anfrage prüfen

Jede genehmigte Zugriffsanfrage wird mit einem asymmetrischen kryptografischen Schlüssel signiert, um die Genehmigung zu bestätigen. Genehmigte Anfragen können mit einem Google-owned and managed key oder einem vom Kunden bereitgestellten Cloud KMS-Schlüssel signiert werden.

Wenn Sie eine Signatur validieren, können Sie sicher sein, dass der Bytestring der serialisierten genehmigten Anfrage gültig ist. Um den Inhalt der Genehmigung fertig zu validieren, musst du die Nachricht deserialisieren und die deserialisierte Nachricht mit dem Inhalt der genehmigten Anfrage vergleichen.

Hinweise

Damit das Dienstkonto für die Zugriffsberechtigung für Ihre Ressource die erforderlichen Berechtigungen zum Verifizieren von genehmigten Anfragesignaturen hat, bitten Sie Ihren Administrator, dem Dienstkonto für die Zugriffsberechtigung für Ihre Ressource die IAM-Rolle Cloud KMS CryptoKey-Unterzeichner/-Verifizierer (roles/cloudkms.signerVerifier) für den Schlüssel, den Schlüsselbund oder das Schlüsselprojekt zuzuweisen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Ihr Administrator kann dem Dienstkonto für die Zugriffsberechtigung für Ihre Ressource möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.

Anfrage validieren, die mit einem Google-owned and managed key

Rufen Sie in der Google Cloud Console die Seite Zugriffsberechtigung auf.

Zugriffsgenehmigung aufrufen
Suchen Sie die genehmigte Anfrage für den Zugriff und wählen Sie sie aus. Die Seite Anfragedetails wird geöffnet.
Klicken Sie unter Von Google verwalteter öffentlicher Schlüssel auf content_copy Kopieren.
Öffnen Sie Cloud Shell und speichern Sie den öffentlichen Schlüssel als neue Datei mit dem Namen public_key:
```
echo GOOGLE_MANAGED_PUBLIC_KEY > ./public_key
```
Ersetzen Sie GOOGLE_MANAGED_PUBLIC_KEY durch den Inhalt des Felds Von Google verwalteter öffentlicher Schlüssel.
Klicken Sie in der Google Cloud Console auf der Seite Anfragedetails unter Signatur auf content_copy Kopieren.
Öffnen Sie Cloud Shell und speichern Sie die Signatur als neue Datei mit dem Namen signature.txt:
```
echo SIGNATURE > ./signature.txt
```
Ersetzen Sie SIGNATURE durch den Inhalt des Felds Signatur.
Dekodieren Sie die Signatur mit dem Befehl base64 und speichern Sie das Ergebnis als decoded_signature:
```
base64 ./signature.txt -d > ./decoded_signature
```
Klicken Sie in der Google Cloud Console auf der Seite Anfragedetails unter Serialisierte Genehmigungsanfrage auf content_copy Kopieren.
Öffnen Sie Cloud Shell und speichern Sie die serialisierte Genehmigungsanfrage als neue Datei mit dem Namen serialized_approval_request.txt:
```
echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt
```
Ersetzen Sie SERIALIZED_APPROVAL_REQUEST durch den Inhalt des Felds Serialized Approval Request.
Decodiere die serialisierte Genehmigungsanfrage und speichere das Ergebnis als decoded_serialized_approval_request:
```
base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request
```
Verwende openssl, um die Signatur zu prüfen:
```
openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request
```
Wenn die Signatur gültig ist, sollte die Ausgabe Verified OK lauten. Damit wird bestätigt, dass die serialisierte Genehmigungsanfrage gültig ist.

Anfrage validieren, die mit einem vom Kunden bereitgestellten Schlüssel signiert wurde

Rufen Sie in der Google Cloud Console die Seite Zugriffsberechtigung auf.

Zugriffsgenehmigung aufrufen
Suchen Sie die genehmigte Anfrage für den Zugriff und wählen Sie sie aus. Die Seite Anfragedetails wird geöffnet.
Klicken Sie in der Google Cloud Console auf der Seite Anfragedetails unter Signatur auf content_copy Kopieren.
Öffnen Sie Cloud Shell und speichern Sie die Signatur als neue Datei mit dem Namen signature.txt:
```
echo SIGNATURE > ./signature.txt
```
Ersetzen Sie SIGNATURE durch den Inhalt des Felds Signatur.
Decodieren Sie die Signatur und speichern Sie das Ergebnis als decoded_signature:
```
base64 ./signature.txt -d > ./decoded_signature
```
Klicken Sie in der Google Cloud Console auf der Seite Anfragedetails unter Serialisierte Genehmigungsanfrage auf content_copy Kopieren.
Öffnen Sie Cloud Shell und speichern Sie die serialisierte Genehmigungsanfrage als neue Datei mit dem Namen serialized_approval_request.txt:
```
echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt
```
Ersetzen Sie SERIALIZED_APPROVAL_REQUEST durch den Inhalt des Felds Serialized Approval Request.
Decodiere die serialisierte Genehmigungsanfrage und speichere das Ergebnis als decoded_serialized_approval_request:
```
base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request
```
Notieren Sie sich unter Vom Kunden verwalteter Schlüssel die Ressourcen-ID des Schlüssels.
Rufen Sie den öffentlichen Schlüssel für den Schlüssel ab, den Sie im vorherigen Schritt identifiziert haben. Speichern Sie den heruntergeladenen öffentlichen Schlüssel im PEM-Format als ./public_key.
Verwende openssl, um die Signatur zu prüfen:
```
openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request
```
Wenn die Signatur gültig ist, sollte die Ausgabe Verified OK lauten. Damit wird bestätigt, dass die serialisierte Genehmigungsanfrage gültig ist.