Criar assinaturas

Nesta página, mostramos como usar o métodoGoogle Cloud signBlob para criar uma assinatura de um documento de política ou string a ser assinado. As assinaturas são usadas como credenciais em determinadas solicitações, como URLs assinados. Este guia usa chaves RSA para criar assinaturas.

Antes de começar

  1. Enable the Service Account Credentials API.

    Enable the API

  2. Você precisa ter a permissão iam.serviceAccounts.signBlob para a conta de serviço usada neste guia. Essa permissão iam.serviceAccounts.signBlob está incluída no papel roles/iam.serviceAccountTokenCreator.

  3. A conta de serviço usada neste guia precisa ter permissão para executar a solicitação codificada na assinatura. Por exemplo, se a assinatura for usada para ler dados de objetos de um bucket, a conta de serviço precisará ter permissão para ler esses dados.

Criar uma assinatura

  1. Ter CLI gcloud instalada e inicializada, o que permite gerar um token de acesso para o cabeçalho Authorization.

  2. Crie um arquivo JSON com as informações a seguir:

    {
  "payload": "REQUEST_INFORMATION"
}

    Em que:

  3. Use cURL para chamar a API IAM com uma solicitação signBlob:

    curl -X POST --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:signBlob"

    Em que:

    • JSON_FILE_NAME é o nome do arquivo criado na etapa 2.

    • SERVICE_ACCOUNT_EMAIL é o endereço de e-mail da conta de serviço que você quer usar para criar a assinatura. Por exemplo, service-7550275089395@my-pet-project.iam.gserviceaccount.com.

    Se a operação for bem-sucedida, um resumo da mensagem será retornado no campo signedBlob da resposta, que é codificada em base64.

  4. Para concluir a assinatura, verifique se o resumo da mensagem foi decodificado em base64 e codifique-o em hexadecimal.

A seguir