Chiavi HMAC

Configurazione

Questa pagina descrive le chiavi HMAC (Hash-based Message Authentication Code), che puoi utilizzare per autenticare le richieste all'API Cloud Storage XML. Le chiavi HMAC sono utili quando vuoi spostare dati tra altri provider di spazio di spazio di archiviazione sul cloud e Cloud Storage, perché ti consentono di riutilizzare il codice esistente per accedere a Cloud Storage.

Panoramica

Una chiave HMAC è un tipo di credenziale associata a un account, in genere un account di serviziot. Utilizzi una chiave HMAC per creare firme utilizzando l'algoritmo di firma HMAC-SHA256. Le firme che crei vengono poi incluse nelle richieste all'API Cloud Storage XML. Le firme mostrano che una determinata richiesta è autorizzata dall'account associato alla chiave HMAC.

Le chiavi HMAC sono composte da due parti principali: un ID accesso e un secret.

  • ID accesso: una stringa alfanumerica collegata a un account specifico.

    • Se collegata a un account di servizio, la stringa è lunga 61 caratteri.

    Di seguito è riportato un esempio di ID accesso:

    GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA

  • Secret: una stringa con codifica Base64 di 40 caratteri collegata a un ID accesso specifico. Un secret è una chiave precondivisa che solo tu e Cloud Storage conoscete. Utilizzi il tuo segreto per creare firme nell'ambito della procedura di autenticazione. Di seguito è riportato un esempio di secret:

    bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ

Sia l'ID accesso che il secret identificano in modo univoco una chiave HMAC, ma il secret è un'informazione molto più sensibile, perché viene utilizzato per creare firme.

Se vuoi, puoi attivare il vincolo restrictAuthTypes su una risorsa, che limita l'accesso per le richieste firmate con chiavi HMAC.

Archiviare i secret

Quando crei una chiave HMAC per un service account, ti viene fornito il segreto della chiave una sola volta. Devi archiviare in modo sicuro il secret insieme all'ID accesso associato. Se perdi il secret, non potrai recuperarlo o Trusted Cloud by S3NSe dovrai creare una nuova chiave HMAC per ilaccount di serviziot per continuare ad autenticare le richieste.

Best practice per l'archiviazione dei secret

  • Non condividere il secret della chiave HMAC. Devi trattare i secret della chiave HMAC come qualsiasi insieme di credenziali di accesso.

  • Come best practice di sicurezza, devi cambiare regolarmente le chiavi nell'ambito di una rotazione della chiave.

  • Se ritieni che qualcun altro stia utilizzando le tue chiavi HMAC, devi eliminarle immediatamente e crearne di nuove.

  • Quando modifichi le chiavi HMAC, devi aggiornare il codice con le nuove chiavi HMAC prima di eliminare quelle precedenti. Quando elimini le chiavi HMAC, queste diventano immediatamente non valide e non sono recuperabili.

Limitazioni

  • Le chiavi HMAC possono essere utilizzate solo per effettuare richieste all'API XML, non all'API JSON.

  • Puoi avere un massimo di 10 chiavi HMAC per ogni account di servizio. Le chiavi eliminate non contano ai fini di questo limite.

  • Dopo la creazione, potrebbero essere necessari fino a 60 secondi prima che una chiave HMAC dell'account di servizio diventi utilizzabile. Dopo l'eliminazione di un account di servizio, le chiavi HMAC appartenenti a quest'ultimo potrebbero continuare a funzionare per un massimo di 5 minuti. Al contrario, possono essere necessari fino a 5 minuti prima che le chiavi HMAC tornino a essere utilizzabili dopo l'annullamento dell'eliminazione deaccount di serviziont che le possiede.

  • Se abiliti il vincolo restrictAuthTypes su una risorsa, non puoi più creare o attivare chiavi HMAC per il tipo di account specificato in quella risorsa.

Passaggi successivi