Halaman ini membahas kunci message authentication code (HMAC) berbasis hash, yang dapat Anda gunakan untuk mengautentikasi permintaan ke Cloud Storage XML API. Kunci HMAC berguna saat Anda ingin memindahkan data antara penyedia penyimpanan cloud lainnya dan Cloud Storage, karena kunci HMAC memungkinkan Anda menggunakan kembali kode yang ada untuk mengakses Cloud Storage.
Ringkasan
Kunci HMAC adalah jenis kredensial yang terkait dengan akun, biasanya akun layanan. Anda menggunakan kunci HMAC untuk membuat tanda tangan menggunakan algoritma penandatanganan HMAC-SHA256. Tanda tangan yang Anda buat kemudian disertakan dalam permintaan ke Cloud Storage XML API. Tanda tangan menunjukkan bahwa permintaan tertentu diberi otorisasi oleh akun yang terkait dengan kunci HMAC.
Kunci HMAC memiliki dua bagian utama, ID akses dan secret.
ID Akses: String alfanumerik yang ditautkan ke akun tertentu.
Jika ditautkan ke akun layanan, panjang string adalah 61 karakter.
Berikut ini contoh ID akses:
GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA
Secret: String berenkode Base-64 berisi 40 karakter yang ditautkan ke ID akses tertentu. Secret adalah kunci yang dibagikan sebelumnya, yang hanya diketahui oleh Anda dan Cloud Storage. Anda menggunakan secret untuk membuat tanda tangan sebagai bagian dari proses autentikasi. Berikut ini contoh secret:
bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ
ID akses dan secret mengidentifikasi kunci HMAC secara unik, tetapi secret adalah informasi yang jauh lebih sensitif, karena digunakan untuk membuat tanda tangan.
Secara opsional, Anda dapat mengaktifkan batasan restrictAuthTypes
pada
resource, yang membatasi akses untuk permintaan yang ditandatangani oleh kunci HMAC.
Menyimpan rahasia
Saat membuat kunci HMAC untuk akun layanan, Anda akan diberi secret ntuk kunci tersebut satu kali. Anda harus menyimpan secret dengan aman, beserta ID akses terkait. Jika Anda kehilangan secret tersebut, secret tersebut tidak dapat diambil oleh Anda atau Google Cloud, dan Anda harus membuat kunci HMAC baru untuk akun layanan agar dapat terus mengautentikasi permintaan.
Praktik terbaik untuk menyimpan secret
Jangan bagikan secret kunci HMAC Anda. Anda harus memperlakukan secret kunci HMAC seperti set kredensial akses.
Sebagai praktik terbaik keamanan, Anda harus mengubah kunci secara rutin sebagai bagian dari rotasi kunci.
Jika menurut Anda orang lain menggunakan kunci HMAC Anda, Anda harus segera menghapus kunci HMAC yang terpengaruh dan membuat yang baru.
Saat mengubah kunci HMAC, Anda harus memperbarui kode dengan kunci HMAC baru sebelum Anda menghapus kunci lama. Saat Anda menghapus kunci HMAC, kunci tersebut langsung menjadi tidak valid dan tidak dapat dipulihkan.
Pembatasan
Kunci HMAC hanya dapat digunakan untuk membuat permintaan ke XML API, bukan JSON API.
Anda dapat memiliki maksimal 10 kunci HMAC per akun layanan. Kunci yang dihapus tidak dihitung terhadap batas ini.
Setelah dibuat, perlu waktu hingga 30 detik agar kunci HMAC akun layanan dapat digunakan. Setelah menghapus akun layanan, kunci HMAC yang dimilikinya mungkin akan terus berfungsi hingga 5 menit. Sebaliknya, kunci HMAC dapat memerlukan waktu hingga 5 menit untuk dapat digunakan kembali setelah membatalkan penghapusan akun layanan yang memilikinya.
Jika mengaktifkan batasan
restrictAuthTypes
pada resource, Anda tidak dapat lagi membuat atau mengaktifkan kunci HMAC untuk jenis akun yang ditentukan di resource tersebut.