HMAC 키

설정

이 페이지에서는 Cloud Storage XML API에 대한 요청을 인증하는 데 사용할 수 있는 해시 기반 메시지 인증 코드(HMAC) 키를 설명합니다. HMAC 키는 다른 클라우드 스토리지 제공업체와 Cloud Storage 간에 데이터를 이동하려는 경우에 유용합니다. HMAC 키를 사용하면 Cloud Storage에 액세스할 때 기존 코드를 재사용할 수 있기 때문입니다.

개요

HMAC 키는 계정(일반적으로 서비스 계정)과 연결된 사용자 인증 정보의 유형 중 하나입니다. HMAC 키를 사용하면 HMAC-SHA256 서명 알고리즘을 사용해서 서명을 만들 수 있습니다. 이렇게 만든 서명은 Cloud Storage XML API에 대한 요청에 포함됩니다. 서명은 HMAC 키와 연결된 계정이 지정된 요청을 승인했음을 나타냅니다.

HMAC 키는 액세스 ID보안 비밀의 2가지 요소로 구성되어 있습니다.

  • 액세스 ID: 특정 계정에 연결된 영숫자 문자열입니다.

    • 서비스 계정에 연결된 경우 문자열 길이는 61자입니다.

    다음은 액세스 ID의 예시입니다.

    GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA

  • 보안 비밀: 특정 액세스 ID에 연결되는 40자로 된 Base-64 인코딩 문자열입니다. 보안 비밀은 사용자와 Cloud Storage만 아는 사전 공유된 키입니다. 보안 비밀을 사용하여 인증 프로세스의 일부로 서명을 만듭니다. 다음은 보안 비밀의 예시입니다.

    bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ

액세스 ID와 보안 비밀은 모두 HMAC 키를 고유하게 식별하지만, 보안 비밀은 서명을 생성하는 데 사용되므로 훨씬 더 민감한 정보로 간주됩니다.

선택적으로 리소스에 대해 restrictAuthTypes 제약조건을 사용 설정하여 HMAC 키로 서명된 요청의 액세스를 제한할 수 있습니다.

보안 비밀 저장

서비스 계정의 HMAC 키를 만들 때 키에 대한 보안 비밀은 한 번만 제공됩니다. 보안 비밀과 연결된 액세스 ID는 안전하게 저장해야 합니다. 보안 비밀을 분실한 경우에는 사용자 또는 Trusted Cloud by S3NS누구도 이를 복구할 수 없으며, 요청을 계속 인증하기 위해서는 서비스 계정에 대해 새 HMAC 키를 만들어야 합니다.

보안 비밀 저장을 위한 권장사항

  • HMAC 키 보안 비밀을 공유하지 마세요. HMAC 키 보안 비밀은 다른 액세스 사용자 인증 정보와 마찬가지로 취급해야 합니다.

  • 보안 권장사항으로 키 순환 과정에서 키를 정기적으로 변경해야 합니다.

  • HMAC 키를 다른 사람이 사용하고 있다고 생각되면 영향을 받는 HMAC 키를 즉시 삭제하여 새로운 키를 만들어야 합니다.

  • HMAC 키를 변경할 때는 이전 키를 삭제하기 전에 코드를 새 HMAC 키로 업데이트해야 합니다. HMAC 키를 삭제하면 키가 즉시 무효화되며 복구할 수 없습니다.

제한사항

  • HMAC 키는 JSON API가 아닌 XML API에 대한 요청을 수행하는 경우에만 사용할 수 있습니다.

  • 서비스 계정별로 최대 10개의 HMAC 키가 있을 수 있습니다. 삭제된 키는 이 한도에 포함되지 않습니다.

  • 생성 후 서비스 계정 HMAC 키를 사용할 수 있게 될 때까지 최대 30가 걸릴 수 있습니다. 서비스 계정을 삭제한 후에도 해당 계정에 속한 HMAC 키는 최대 5분 동안 계속 작동할 수 있습니다. 반대로 키가 속하는 서비스 계정을 삭제 취소한 후 HMAC 키가 다시 사용할 수 있을 때까지 최대 5분 정도 걸릴 수 있습니다.

  • 리소스에 restrictAuthTypes 제약조건을 사용 설정하면 해당 리소스에 지정된 계정 유형의 HMAC 키를 더 이상 만들거나 활성화할 수 없습니다.

다음 단계