Chiavi HMAC

Configurazione

Questa pagina illustra le chiavi HMAC (Hash-based Message Authentication Code), che puoi utilizzare per autenticare le richieste all'API XML di Cloud Storage. Le chiavi HMAC sono utili quando vuoi spostare i dati tra altri fornitori di spazio di archiviazione sul cloud e Cloud Storage, perché ti consentono di riutilizzare il codice esistente per accedere a Cloud Storage.

Panoramica

Una chiave HMAC è un tipo di credenziale associata a un account, in genere un account di servizio. Utilizza una chiave HMAC per creare firme utilizzando l'algoritmo di firma HMAC-SHA256. Le firme che crei vengono poi incluse nelle richieste all'API XML di Cloud Storage. Le firme mostrano che una determinata richiesta è autorizzata dall'account associato alla chiave HMAC.

Le chiavi HMAC hanno due componenti principali, un ID di accesso e un secret.

• ID accesso: una stringa alfanumerica collegata a un account specifico.

  • Se è collegata a un account di servizio, la stringa ha una lunghezza di 61 caratteri.

  • Se collegata a un account utente, la stringa ha una lunghezza di 24 caratteri.

  Di seguito è riportato un esempio di ID accesso:

  GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA

• Segreto: una stringa con codifica Base64 di 40 caratteri collegata a un ID accesso specifico. Un segreto è una chiave pre-condivisa nota solo a te e a Cloud Storage. Utilizzi il tuo segreto per creare le firme nell'ambito della procedura di autenticazione. Di seguito è riportato un esempio di segreto:

  bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ

Sia l'ID di accesso che il secret identificano in modo univoco una chiave HMAC, ma il secret è informazioni molto più sensibili, perché viene utilizzato per creare le firme.

Se vuoi, puoi attivare il vincolo restrictAuthTypes su una risorsa, che limita l'accesso per le richieste firmate con chiavi HMAC.

Archiviare i secret

Quando crei una chiave HMAC per un account di servizio, ti viene fornito il segreto per la chiave una sola volta. Devi archiviare il secret in modo sicuro, insieme all'ID di accesso associato. Se perdi il segreto, non potrai recuperarlo né tu né Google Cloud e dovrai creare una nuova chiave HMAC per il account di servizio per continuare ad autenticare le richieste.

Per creare una chiave HMAC per un account utente, devi aver eseguito l'accesso alla console Google Cloud con l'account utente e andare alla scheda Interoperabilità nel menu Impostazioni di Cloud Storage di un progetto per il quale disponi dell'autorizzazione IAM resourcemanager.projects.get. Una volta creata, puoi visualizzare la chiave segreta dalla scheda Interoperabilità di qualsiasi progetto per cui disponi dell'autorizzazione resourcemanager.projects.get.

Best practice per la memorizzazione dei secret

• Non condividere il secret della chiave HMAC. Devi trattare i secret delle chiavi HMAC come faresti con qualsiasi insieme di credenziali di accesso.

• Come best practice per la sicurezza, devi cambiare regolarmente le chiavi nell'ambito di una rotazione della chiave.

• Se ritieni che qualcun altro stia utilizzando le tue chiavi HMAC, devi eliminare immediatamente le chiavi HMAC interessate e crearne di nuove.

• Quando modifichi le chiavi HMAC, devi aggiornare il codice con le nuove chiavi HMAC prima di eliminare quelle vecchie. Quando elimini le chiavi HMAC, queste diventano immediatamente non valide e non possono essere recuperate.

Limitazioni

• Le chiavi HMAC possono essere utilizzate solo per inviare richieste all'API XML, non all'API JSON.

• Puoi avere un massimo di 10 chiavi HMAC per account di servizio. Le chiavi eliminate non vengono conteggiate ai fini di questo limite.

• Dopo la creazione, possono essere necessari fino a 30 secondi prima che una chiave HMAC dell'account di servizio possa essere utilizzata. Dopo aver eliminato un account di servizio, le chiavi HMAC che gli appartengono potrebbero continuare a funzionare per un massimo di 5 minuti. Al contrario, può essere necessario attendere fino a 5 minuti prima che le chiavi HMAC tornino a essere utilizzabili dopo aver annullato l'eliminazione dell'account di servizio che le possiede.

• Se attivi il vincolo restrictAuthTypes in una risorsa, non potrai più creare o attivare chiavi HMAC per il tipo di account specificato in quella risorsa.

Migrazione dalle chiavi HMAC degli account utente

In genere, l'associazione delle chiavi HMAC agli account di servizio è un'opzione migliore rispetto all'associazione agli account utente, in particolare per i carichi di lavoro di produzione:

• Gli account di servizio consentono una migliore supervisione amministrativa ed eliminano le implicazioni per la sicurezza e la privacy degli account detenuti da singoli utenti.

• Gli account di servizio riducono il rischio di interruzioni del servizio associate all'utilizzo degli account utente, ad esempio quando un account utente viene disattivato perché l'utente lascia il progetto o l'azienda.

Se al momento utilizzi chiavi HMAC con account utente, ma vuoi eseguire la migrazione agli account di servizio, tieni presente quanto segue:

• Al progetto deve essere associato un account di servizio e una chiave HMAC.

• All'account di servizio devono essere concesse le autorizzazioni richieste per eseguire azioni in Cloud Storage.

  L'autorizzazione generale per lavorare con gli oggetti è contenuta nel ruolo Storage Object Admin, ma ti consigliamo di avere account di servizio separati per eseguire azioni diverse. Ad esempio, potresti volere un account di servizio per la lettura, con il ruolo Storage Object Viewer, e un secondo account di servizio per la scrittura, con il ruolo Storage Object Creator.

• Prima di inviare qualsiasi aggiornamento in produzione, devi verificare che l'account di servizio si comporti come previsto.

• Dopo la transizione del lavoro di produzione alle chiavi HMAC dell'account di servizio, dovresti controllare la seguente metrica di monitoraggio di Cloud per verificare che le chiavi HMAC associate all'account utente non siano più in uso:

  Metrica	Descrizione
  storage.googleapis.com/authn/authentication_count	Il numero di volte in cui le chiavi HMAC sono state utilizzate per autenticare le richieste.

  Puoi impostare le seguenti etichette per monitorare le chiavi dell'account utente che sono ancora in uso durante l'avanzamento della migrazione:

  • access_id: identifica l'ID accesso che ha effettuato la richiesta. Puoi anche utilizzare access_id durante una rotazione della chiave per osservare il passaggio del traffico da una chiave all'altra.

  • authentication_method: identifica se le chiavi sono chiavi dell'account utente o dell'account di servizio.

• Dopo aver verificato che le chiavi HMAC dell'account utente non vengono più utilizzate, devi eliminarle. In questo modo riduci il rischio di accesso improprio ai dati.

• Se l'account utente non viene più utilizzato per accedere alle risorse Cloud Storage, revoca qualsiasi accesso a Cloud Storage di cui dispone.

• Se vuoi, puoi abilitare la limitazione restrictAuthTypes sulle chiavi HMAC dell'account utente per un ulteriore livello di sicurezza.

Passaggi successivi

• Crea chiavi HMAC per i tuoi account di servizio.
• Utilizza una chiave HMAC in una richiesta autenticata.