Questa pagina spiega come creare, disattivare ed eliminare le chiavi HMAC (Hash-based Message Authentication Code) associate ai service account nel progetto.
Prima di iniziare
Prima di utilizzare questa funzionalità in Cloud Storage, devi soddisfare i seguenti requisiti:
Disporre dell'autorizzazione sufficiente per lavorare con le chiavi HMAC nel progetto selezionato:
Se sei il proprietario del progetto, molto probabilmente disponi delle autorizzazioni necessarie.
Per il progetto devi disporre delle autorizzazioni IAM con prefisso
storage.hmacKeys
. Consulta Utilizzare le autorizzazioni IAM per istruzioni su come ottenere un ruolo, ad esempio Amministratore chiavi HMAC di archiviazione, che dispone di queste autorizzazioni.
Avere un account di servizio nel progetto per cui intendi creare chiavi HMAC. Se non ne hai ancora uno, consulta la sezione Creare un account di servizio.
Il vincolo
restrictAuthTypes
deve essere disabilitato per l'autenticazione della chiave HMAC. Per istruzioni su come controllare e disattivare il vincolo, consulta la sezione Creare e gestire i criteri dell'organizzazione.
Creazione di una chiave HMAC
Per creare una chiave HMAC per un account di servizio:
Console
- Nella console Google Cloud, vai alla pagina Impostazioni di Cloud Storage.
Seleziona la scheda Interoperabilità.
Fai clic su add_box Crea una chiave per un account di servizio.
Seleziona l'account di servizio a cui vuoi associare la chiave HMAC.
Fai clic su Crea chiave.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta la sezione Risoluzione dei problemi.
Riga di comando
Utilizza il comando hmac create
:
gcloud storage hmac create SERVICE_ACCOUNT_EMAIL
dove SERVICE_ACCOUNT_EMAIL
è l'indirizzo email associato al tuo account di servizio. Ad esempio,
service-7550275089395@my-pet-project.iam.gserviceaccount.com
.
In caso di esito positivo, la risposta contiene una risorsa chiave HMAC, inclusi i valori per accessId
e secret
.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Terraform
Puoi utilizzare una risorsa Terraform per creare una chiave HMAC. Questo sample include anche una risorsa per creare un account di servizio.
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiestaPOST
hmacKeys:curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/projects/PROJECT_IDENTIFIER/hmacKeys?serviceAccountEmail=SERVICE_ACCOUNT_EMAIL"
Dove:
PROJECT_IDENTIFIER
è l'ID o il numero del progetto associato alla chiave che vuoi creare. Ad esempio,my-pet-project
.SERVICE_ACCOUNT_EMAIL
è l'indirizzo email associato al tuo account di servizio. Ad esempio,service-7550275089395@my-pet-project.iam.gserviceaccount.com
.
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API XML con una richiesta diPOST
chiave HMAC:curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/?Action=CreateAccessKey&UserName=SERVICE_ACCOUNT_EMAIL"
dove
SERVICE_ACCOUNT_EMAIL
è l'indirizzo email associato al tuo account di servizio. Ad esempio,service-7550275089395@my-pet-project.iam.gserviceaccount.com
.
Ottenere informazioni sulla chiave HMAC
Per elencare le chiavi HMAC di un progetto e ottenere informazioni sulle chiavi:
Console
- Nella console Google Cloud, vai alla pagina Impostazioni di Cloud Storage.
Seleziona la scheda Interoperabilità.
Gli account di servizio con chiavi HMAC associate vengono visualizzati nella sottosezione Chiavi di accesso per gli account di servizio della sezione HMAC dell'account di servizio.
Fai clic sul nome di un account di servizio specifico per visualizzare le chiavi HMAC associate e il relativo stato.
Riga di comando
Utilizza il comando
hmac list
per elencare le chiavi HMAC nel tuo progetto:gcloud storage hmac list
Se l'operazione va a buon fine, il comando restituisce un elenco di ID di accesso alle chiavi HMAC, insieme allo stato di ogni chiave e all'account di servizio associato a ogni chiave.
Utilizza il comando
hmac describe
per recuperare i metadati di una chiave specifica:gcloud storage hmac describe KEY_ACCESS_ID
Dove
KEY_ACCESS_ID
è l'ID di accesso per la chiave preferita.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio recupera un elenco di chiavi HMAC associate a un progetto:
Il seguente esempio recupera le informazioni per una chiave HMAC specifica:
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiestaLIST
hmacKeys:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/projects/PROJECT_IDENTIFIER/hmacKeys"
dove
PROJECT_IDENTIFIER
è l'ID o il numero del progetto associato alle chiavi che vuoi elencare. Ad esempio,my-pet-project
.
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API XML con una richiesta diGET
chiave HMAC:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/?Action=ListAccessKeys&UserName=SERVICE_ACCOUNT_EMAIL"
dove
SERVICE_ACCOUNT_EMAIL
è l'indirizzo email associato al tuo account di servizio. Ad esempio,service-7550275089395@my-pet-project.iam.gserviceaccount.com
.
Aggiornare lo stato di una chiave HMAC
Per attivare o disattivare una chiave HMAC:
Console
- Nella console Google Cloud, vai alla pagina Impostazioni di Cloud Storage.
Seleziona la scheda Interoperabilità.
Nella sottosezione Chiavi di accesso per gli account di servizio, fai clic sul nome dell'account di servizio associato alla chiave HMAC di cui vuoi aggiornare lo stato.
Fai clic sullo stato della chiave che vuoi aggiornare.
Se stai modificando lo stato della chiave da Non attivo ad Attivo, fai clic su Disattiva nella finestra visualizzata.
Se stai modificando lo stato della chiave da Attivo a Non attivo, non sono necessari passaggi aggiuntivi.
Riga di comando
Utilizza il comando hmac update
:
gcloud storage hmac update ACCESS_KEY_ID STATE
Dove:
ACCESS_KEY_ID
è l'ID di accesso associato alla chiave che stai aggiornando.STATE
è--activate
o--deactivate
.
In caso di esito positivo, il comando restituisce i metadati aggiornati della chiave HMAC.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Il seguente esempio disattiva una chiave HMAC:
Il seguente esempio attiva una chiave HMAC:
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Crea un file JSON contenente le seguenti informazioni:
{"state": "STATE"}
dove
STATE
è lo stato desiderato per la chiave. Ad esempio:INACTIVE
.Utilizza
cURL
per chiamare l'API JSON con una richiestaPUT
hmacKeys:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/projects/PROJECT_IDENTIFIER/hmacKeys/ACCESS_KEY_ID"
Dove:
JSON_FILE_NAME
è il percorso del file che hai creato nel passaggio 2.PROJECT_IDENTIFIER
è l'ID o il numero per il progetto associato alla chiave che vuoi aggiornare. Ad esempio,my-pet-project
.ACCESS_KEY_ID
è l'ID di accesso associato alla chiave che stai aggiornando.
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API XML con una richiesta diPOST
chiave HMAC:curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/?Action=UpdateAccessKey&AccessKeyId=ACCESS_KEY_ID&Status=STATUS"
Dove:
ACCESS_KEY_ID
è l'ID di accesso associato alla chiave che stai aggiornando.STATUS
è lo stato desiderato per la chiave. Ad esempio:Inactive
.
Quando modifichi lo stato di una chiave HMAC, possono trascorrere fino a 3 minuti prima che la modifica dello stato venga propagata nel sistema Cloud Storage. Per questo motivo, devi attendere almeno 3 minuti tra il momento in cui una chiave HMAC viene disattivata e quello in cui viene eliminata.
Eliminare una chiave HMAC
Una chiave HMAC deve essere in uno stato non attivo per poter essere eliminata. Per eliminare una chiave HMAC inattiva:
Console
- Nella console Google Cloud, vai alla pagina Impostazioni di Cloud Storage.
Seleziona la scheda Interoperabilità.
Nella sottosezione Chiavi di accesso per gli account di servizio, fai clic sul nome dell'account di servizio associato alla chiave HMAC che vuoi eliminare.
Fai clic sull'icona del cestino associata alla chiave che vuoi eliminare.
Nella finestra di dialogo visualizzata, inserisci i primi 10 caratteri dell'ID chiave di accesso come indicato nella finestra.
Fai clic su Elimina.
Riga di comando
Utilizza il comando hmac delete
:
gcloud storage hmac delete ACCESS_KEY_ID
dove ACCESS_KEY_ID
è l'ID accesso associato alla chiave che stai eliminando.
In caso di esito positivo, il comando non restituisce una risposta.
Librerie client
C++
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C++.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
C#
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage C#.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Go
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Go.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Java
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Java.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Node.js
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Node.js.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
PHP
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage PHP.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Python
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Python.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
Ruby
Per saperne di più, consulta la documentazione di riferimento dell'API Cloud Storage Ruby.
Per autenticarti a Cloud Storage, configura le Credenziali predefinite dell'applicazione. Per saperne di più, consulta Configurare l'autenticazione per le librerie client.
API REST
API JSON
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiestaDELETE
hmacKeys:curl -X DELETE \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/projects/PROJECT_IDENTIFIER/hmacKeys/ACCESS_KEY_ID"
Dove:
PROJECT_IDENTIFIER
è l'ID o il numero del progetto associato alla chiave che vuoi eliminare. Ad esempio,my-pet-project
.ACCESS_KEY_ID
è l'ID di accesso associato alla chiave che stai eliminando.
API XML
Avere installato e inizializzatogcloud CLI, che consente di generare un token di accesso per l'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API XML con una richiesta diPOST
chiave HMAC:curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/?Action=DeleteAccessKey&AccessKeyId=ACCESS_KEY_ID"
Dove
ACCESS_KEY_ID
è l'ID accesso associato alla chiave che stai eliminando.
Passaggi successivi
- Segui le linee guida per la migrazione dalle chiavi HMAC degli account utente alle chiavi HMAC degli account di servizio.
- Utilizza una chiave HMAC in una richiesta autenticata.