En esta página, se tratan las claves del código de autenticación de mensaje basado en hash (HMAC), que puedes usar para autenticar solicitudes en la API de XML de Cloud Storage. Las claves HMAC son útiles cuando deseas mover datos entre otros proveedores de almacenamiento en la nube y Cloud Storage, ya que las claves HMAC te permiten reutilizar tu código existente para acceder a Cloud Storage.
Descripción general
Una clave HMAC es un tipo de credencial asociada con una cuenta, por lo general, una cuenta de servicio. Usa una clave HMAC para crear firmas mediante el algoritmo de firma HMAC-SHA256. Las firmas que crees se incluyen en solicitudes a la API de XML de Cloud Storage. Las firmas muestran que la cuenta asociada con la clave HMAC autoriza una solicitud determinada.
Las claves HMAC constan de dos partes principales, un ID de acceso y un secreto.
ID de acceso: Una string alfanumérica vinculada con una cuenta específica.
Cuando la URL se vincula a una cuenta de servicio, la string tiene 61 caracteres.
A continuación, se muestra un ejemplo de un ID de acceso:
GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSASecreto: Una string codificada en Base 64 de 40 caracteres que está vinculada a un ID de acceso específico. Un secreto es una clave compartida con anterioridad que solo tú y Cloud Storage conocen. Usas tu secreto para crear firmas como parte del proceso de autenticación. A continuación, se muestra un ejemplo de un secreto:
bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ
El ID de acceso y el secreto identifican de manera inequívoca una clave HMAC, pero el secreto cuenta con mucha más información sensible, ya que se usa para crear firmas.
De manera opcional, puedes habilitar la restricción restrictAuthTypes en un recurso, que restringe el acceso de solicitudes firmadas por claves HMAC.
Almacena secretos
Cuando creas una clave HMAC para una cuenta de servicio, se te proporciona el objeto Secret de la clave una vez. Debes guardar el objeto Secret de forma segura junto con el ID de acceso relacionado. Si pierdes el secreto, ni tú ni Trusted Cloud by S3NSpueden recuperarlo, y debes crear una clave HMAC nueva para que la cuenta de servicio continúe autenticando las solicitudes.
Prácticas recomendadas para almacenar secretos
No compartas tu secreto de clave HMAC. Debes tratar los secretos de clave HMAC como lo harías con cualquier conjunto de credenciales de acceso.
Como práctica recomendada de seguridad, debes cambiar las claves con regularidad, como parte de una rotación de claves.
Si crees que alguien más usa tus claves HMAC, debes borrar las claves afectadas de inmediato y crear nuevas.
Cuando cambias las claves HMAC, debes actualizar el código con las claves nuevas antes de borrar las antiguas. Cuando borras las claves HMAC, se vuelven no válidas de inmediato y no se pueden recuperar.
Restricciones
Las claves HMAC solo se pueden usar para realizar solicitudes a la API de XML, no a la API de JSON.
Puedes tener un máximo de 10 claves HMAC por cuenta de servicio. Las claves borradas no cuentan en este límite.
Después de la creación, la clave HMAC de una cuenta de servicio puede tardar hasta 60 segundos en usarse. Después de borrar una cuenta de servicio, las claves HMAC que le pertenecen pueden seguir funcionando durante un máximo de 5 minutos. Por el contrario, las claves HMAC pueden tardar hasta 5 minutos en volver a usarse después de recuperar la cuenta de servicio que las posee.
Si habilitas la restricción
restrictAuthTypesen un recurso, ya no podrás crear ni activar claves HMAC para el tipo de cuenta especificado en ese recurso.