Chaves HMAC

Nesta página, você encontrará informações sobre as chaves de código de autenticação de mensagem baseado em hash (HMAC, na sigla em inglês), que podem ser usadas para autenticar solicitações ao Cloud Storage. Para seguir um guia sobre como criar e gerenciar chaves HMAC de contas de serviço, consulte esta página.

Visão geral

Uma chave HMAC é um tipo de credencial que pode ser associada a uma conta de serviço Beta ou a uma conta de usuário no Cloud Storage. A chave HMAC pode ser usada para criar assinaturas que são incluídas nas solicitações ao Cloud Storage. As assinaturas mostram que uma determinada solicitação foi autorizada pela conta de serviço ou do usuário.

As chaves HMAC têm dois componentes principais: um ID de acesso e uma chave secreta. Tanto o ID de acesso quanto a chave secreta identificam uma chave HMAC de modo único. No entanto, a chave secreta é uma informação extremamente confidencial porque é usada para criar assinaturas.

As chaves HMAC são úteis na situação a seguir:

  • Você quer migrar dados entre o Cloud Storage e outros provedores de armazenamento em nuvem. Com as chaves HMAC, é possível reutilizar o código que você já tem para acessar o Cloud Storage.

Como armazenar chaves secretas

Ao criar uma chave HMAC para uma conta de serviço, você recebe uma chave secreta apenas uma vez. É necessário armazená-la em segurança, junto com o respectivo ID de acesso. Se a chave secreta for perdida, nem você nem o Google conseguirão recuperá-la. Será necessário criar uma nova chave HMAC para que a conta de serviço continue a autenticar as solicitações.

Ao criar uma chave HMAC para uma conta de usuário, é possível ver a chave secreta no Console do Google Cloud Platform. Para isso, faça login no Console do GCP com a conta de usuário. As chaves secretas associadas à conta de usuário estão no menu Configurações do Cloud Storage, na guia Interoperabilidade.

Restrições

  • As chaves HMAC podem ser usadas para fazer solicitações à API XML, mas não à API JSON.

  • Cada conta de serviço pode ter no máximo cinco chaves HMAC. As chaves excluídas não contam nesse limite.

Migração das chaves HMAC de conta de usuário para contas de serviço

Em geral, associar chaves HMAC a contas de serviço é uma opção melhor do que associá-las a contas de usuário, principalmente no caso das cargas de trabalho em produção:

  • As contas de serviço proporcionam uma melhor supervisão administrativa porque elas não têm as mesmas restrições de privacidade e segurança das contas pertencentes a usuários individuais.

  • As contas de serviço reduzem o risco de interrupções no serviço devido à dependência em contas de usuário como, por exemplo, quando uma conta de usuário é desativada porque a pessoa não faz mais parte do projeto ou da empresa.

Se você atualmente usa chaves HMAC com contas de usuário, mas quer migrar para contas de serviço, lembre-se das seguintes orientações:

  • É necessário que seu projeto tenha uma conta de serviço associada a uma chave HMAC.

  • A conta de serviço precisa receber as permissões necessárias para realizar ações no Cloud Storage.

    A permissão mais abrangente para trabalhar com objetos está no papel Storage Object Admin, mas convém ter contas de serviço separadas para executar ações diferentes. Por exemplo, é recomendável ter uma conta de serviço para leitura com o papel Storage Object Viewer e uma segunda conta de serviço para gravação com o papel Storage Object Creator.

  • Faça testes para ter certeza de que a conta de serviço está se comportando conforme o esperado antes de enviar qualquer atualização para a produção.

  • Depois de fazer a transição do trabalho de produção para chaves HMAC de conta de serviço, veja a métrica auth_method_count do Stackdriver para verificar se as chaves HMAC associadas à conta de usuário deixaram de ser usadas.

  • Exclua as chaves HMAC de conta de usuário depois de verificar que elas não estão mais em uso. Essa ação reduz o risco de acessos indevidos aos dados.

  • Se a conta de usuário não estiver mais sendo usada para acessar os recursos do Cloud Storage, revogue todos os acessos que ela tem ao produto.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.