Cette page explique comment utiliser la méthode Google Cloud signBlob
pour créer une signature à partir d'une chaîne à signer ou d'un document de stratégie. Les signatures sont utilisées comme identifiants dans certaines requêtes, telles que les URL signées. Ce guide utilise des clés RSA pour créer des signatures.
Avant de commencer
Enable the Service Account Credentials API.
Vous devez disposer de l'autorisation
iam.serviceAccounts.signBlob
pour le compte de service que vous utilisez dans ce guide. L'autorisationiam.serviceAccounts.signBlob
est incluse dans le rôleroles/iam.serviceAccountTokenCreator
.Le compte de service que vous utilisez dans ce guide doit être autorisé à exécuter la requête encodée dans la signature. Par exemple, si la signature est utilisée pour lire des données d'objet à partir d'un bucket, le compte de service doit être autorisé à lire les données d'objet.
Créer une signature
Vous devez installer et initialiser gcloud CLIafin de générer un jeton d'accès pour l'en-tête
Authorization
.Vous pouvez également créer un jeton d'accès à l'aide d'OAuth 2.0 Playground et l'inclure dans l'en-tête
Authorization
.Créez un fichier JSON contenant les informations suivantes :
{ "payload": "REQUEST_INFORMATION" }
Où :
REQUEST_INFORMATION
est une chaîne à signer ou un document de stratégie. Pour les deux, le contenu doit être encodé en base64.
Exécutez
cURL
pour appeler l'API IAM avec une requêtesignBlob
:curl -X POST --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:signBlob"
Où :
JSON_FILE_NAME
correspond au nom du fichier que vous avez créé à l'étape 2.SERVICE_ACCOUNT_EMAIL
correspond à l'adresse e-mail du compte de service que vous souhaitez utiliser pour créer la signature. Exemple :service-7550275089395@my-pet-project.iam.gserviceaccount.com
.
Si la requête aboutit, la signature est renvoyée dans le champ signedBlob
de la réponse.
Étapes suivantes
- Consultez la page de référence pour la signature d'objets blob avec Google Cloud CLI.
- Créez une URL signée manuellement à l'aide de la signature que vous avez créée.
- Créez une URL signée avec les outils Google Cloud.
- Apprenez-en plus sur les signatures.