HMAC 키

이 페이지에서는 Cloud Storage에 대한 요청을 인증하는 데 사용할 수 있는 해시 기반 메시지 인증 코드(HMAC) 키를 설명합니다. 서비스 계정 HMAC 키를 만들고 관리하는 방법은 서비스 계정의 HMAC 키 관리를 참조하세요.

개요

HMAC 키는 사용자 인증 정보의 한 유형으로 Cloud Storage의 서비스 계정베타 또는 사용자 계정에 연결할 수 있습니다. HMAC 키를 사용해 만든 서명은 Cloud Storage에 대한 요청에 포함할 수 있습니다. 서명은 사용자 계정 또는 서비스 계정이 지정된 요청을 승인했음을 나타냅니다.

HMAC 키는 액세스 ID와 보안 비밀의 2가지 요소로 구성되어 있습니다. 액세스 ID와 보안 비밀은 모두 HMAC 키를 고유하게 식별하지만, 보안 비밀은 서명을 생성하는 데 사용되므로 훨씬 더 민감한 정보로 간주됩니다.

HMAC 키는 다음과 같은 경우에 유용합니다.

  • 다른 클라우드 스토리지 제공업체와 Cloud Storage 간에 데이터를 이동하려는 경우, HMAC 키를 사용하면 Cloud Storage에 액세스할 때 기존 코드를 재사용할 수 있습니다.

보안 비밀 저장

서비스 계정의 HMAC 키를 만들 때 키에 대한 보안 비밀은 한 번만 제공됩니다. 보안 비밀과 연결된 액세스 ID는 안전하게 저장해야 합니다. 보안 비밀을 분실한 경우 사용자 본인 또는 Google이 이 정보를 검색할 수 없습니다. 따라서 요청 인증을 계속하려면 서비스 계정의 HMAC 키를 새로 만들어야 합니다.

서비스 계정의 HMAC 키를 만들면 Google Cloud Platform Console에서 키의 보안 비밀을 볼 수 있습니다. 이를 위해서는 사용자 계정으로 GCP Console에 로그인해야 합니다. 사용자 계정에 연결된 보안 비밀은 Cloud Storage 설정 메뉴의 상호 운용성 탭에서 확인할 수 있습니다.

제한사항

  • HMAC 키는 JSON API가 아닌 XML API에 대한 요청을 수행하는 경우에만 사용할 수 있습니다.

  • 서비스 계정별로 최대 5개의 HMAC 키가 있을 수 있습니다. 삭제된 키는 이 한도에 포함되지 않습니다.

사용자 계정 HMAC 키에서 마이그레이션

특히 프로덕션 워크로드의 경우에는 일반적으로 HMAC 키와 사용자 계정을 연결하는 것보다 HMAC 키와 서비스 계정을 연결하는 것이 더 적합합니다.

  • 서비스 계정은 더 효율적인 관리 감독 기능을 제공하므로 개별 사용자가 보유한 계정에 대한 개인정보 보호 및 보안 관련 사항을 삭제할 수 있습니다.

  • 서비스 계정은 사용자의 프로젝트 참여 중단이나 퇴사로 인해 사용자 계정 사용이 중지되는 경우와 같이 사용자 계정 사용과 관련된 서비스 중단의 위험을 줄여줍니다.

현재 사용자 계정에서 HMAC 키를 사용 중이지만 서비스 계정으로 마이그레이션하려는 경우 다음 사항에 유의하세요.

  • 프로젝트에 서비스 계정이 있어야 하고 이 계정과 연결된 HMAC 키가 있어야 합니다.

  • 서비스 계정은 Cloud Storage에서 작업을 수행하는 데 필요한 필수 권한을 부여받아야 합니다.

    객체 작업에 필요한 광범위한 권한은 Storage Object Admin 역할에 포함되어 있지만 다른 작업을 수행하기 위해서는 별도의 서비스 계정이 필요할 수 있습니다. 예를 들어 읽기에 Storage Object Viewer 역할이 포함된 서비스 계정 1개, 쓰기에는 Storage Object Creator 역할이 포함된 다른 서비스 계정이 필요할 수 있습니다.

  • 업데이트를 프로덕션에 푸시하기 전에 서비스 계정이 예상대로 작동하는지 테스트해야 합니다.

  • 프로덕션 작업이 서비스 계정 HMAC 키로 전환되면 서비스 계정과 연결된 HMAC 키가 더 이상 사용되지 않는지 확인하기 위해 auth_method_count Stackdriver 측정 항목을 검사해야 합니다.

  • HMAC 키가 더 이상 사용되지 않는 것을 확인했으면 해당 HMAC 키를 삭제해야 합니다. 이렇게 하면 데이터에 대한 부적절한 액세스의 위험이 줄어듭니다.

  • 사용자 계정이 Cloud Storage 리소스에 액세스하는 용도로 더 이상 사용되지 않으면 이 계정에 포함된 Cloud Storage에 대한 액세스 권한을 취소합니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

도움이 필요하시나요? 지원 페이지를 방문하세요.