Kunci HMAC

Penyiapan

Halaman ini membahas kunci kode autentikasi pesan berbasis hash (HMAC), yang dapat Anda gunakan untuk mengautentikasi permintaan ke Cloud Storage XML API. Kunci HMAC berguna saat Anda ingin memindahkan data antara penyedia penyimpanan cloud lainnya dan Cloud Storage, karena kunci HMAC memungkinkan Anda menggunakan kembali kode yang ada untuk mengakses Cloud Storage.

Ringkasan

Kunci HMAC adalah jenis kredensial yang terkait dengan akun, biasanya akun layanan. Anda menggunakan kunci HMAC untuk membuat tanda tangan menggunakan algoritma penandatanganan HMAC-SHA256. Tanda tangan yang Anda buat kemudian akan disertakan dalam permintaan ke Cloud Storage XML API. Tanda tangan menunjukkan bahwa permintaan tertentu diberi otorisasi oleh akun yang terkait dengan kunci HMAC.

Kunci HMAC memiliki dua bagian utama, ID akses dan secret.

• ID Akses: String alfanumerik yang ditautkan ke akun tertentu.

  • Saat ditautkan ke akun layanan, panjang string adalah 61 karakter.

  Berikut ini contoh ID akses:

  GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA

• Secret: String berenkode Base-64 berisi 40 karakter yang ditautkan ke ID akses tertentu. Secret adalah pre-shared key yang hanya diketahui oleh Anda dan Cloud Storage. Anda menggunakan secret untuk membuat tanda tangan sebagai bagian dari proses autentikasi. Berikut ini contoh secret:

  bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ

ID akses dan secret mengidentifikasi kunci HMAC secara unik, tetapi secret adalah informasi yang jauh lebih sensitif, karena digunakan untuk membuat tanda tangan.

Secara opsional, Anda dapat mengaktifkan batasan restrictAuthTypes pada resource, yang membatasi akses untuk permintaan yang ditandatangani oleh kunci HMAC.

Menyimpan rahasia

Saat membuat kunci HMAC untuk akun layanan, Anda akan diberi secret ntuk kunci tersebut satu kali. Anda harus menyimpan secret dengan aman, beserta ID akses terkait. Jika hilang, rahasia tersebut tidak dapat diambil oleh Anda atau Google Cloud, dan Anda harus membuat kunci HMAC baru untuk akun layanan agar dapat melanjutkan autentikasi permintaan.

Praktik terbaik untuk menyimpan secret

• Jangan bagikan secret kunci HMAC Anda. Anda harus memperlakukan secret kunci HMAC seperti set kredensial akses.

• Sebagai praktik terbaik keamanan, Anda harus mengubah kunci secara rutin sebagai bagian dari rotasi kunci.

• Jika menurut Anda orang lain menggunakan kunci HMAC Anda, Anda harus segera menghapus kunci HMAC yang terpengaruh dan membuat yang baru.

• Saat mengubah kunci HMAC, Anda harus memperbarui kode dengan kunci HMAC baru sebelum Anda menghapus kunci lama. Saat Anda menghapus kunci HMAC, kunci tersebut langsung menjadi tidak valid dan tidak dapat dipulihkan.

Pembatasan

• Kunci HMAC hanya dapat digunakan untuk membuat permintaan ke XML API, bukan JSON API.

• Anda dapat memiliki maksimal 10 kunci HMAC per akun layanan. Kunci yang dihapus tidak dihitung terhadap batas ini.

• Setelah dibuat, diperlukan waktu hingga 30 detik agar kunci HMAC akun layanan dapat digunakan. Setelah menghapus akun layanan, kunci HMAC yang menjadi miliknya dapat terus berfungsi hingga 5 menit. Sebaliknya, perlu waktu hingga 5 menit agar kunci HMAC dapat digunakan kembali setelah membatalkan penghapusan akun layanan yang memilikinya.

• Jika mengaktifkan batasan restrictAuthTypes pada resource, Anda tidak dapat lagi membuat atau mengaktifkan kunci HMAC untuk jenis akun yang ditentukan di resource tersebut.

Langkah selanjutnya

• Buat kunci HMAC untuk akun layanan Anda.
• Gunakan kunci HMAC dalam permintaan yang diautentikasi.