이 페이지에서는 Cloud Storage XML API에 대한 요청을 인증하는 데 사용할 수 있는 해시 기반 메시지 인증 코드(HMAC) 키를 설명합니다. HMAC 키는 다른 클라우드 스토리지 제공업체와 Cloud Storage 간에 데이터를 이동하려는 경우에 유용합니다. HMAC 키를 사용하면 Cloud Storage에 액세스할 때 기존 코드를 재사용할 수 있기 때문입니다.
개요
HMAC 키는 계정(일반적으로 서비스 계정)과 연결된 사용자 인증 정보의 유형 중 하나입니다. HMAC 키를 사용하면 HMAC-SHA256 서명 알고리즘을 사용해서 서명을 만들 수 있습니다. 이렇게 만든 서명은 Cloud Storage XML API에 대한 요청에 포함됩니다. 서명은 HMAC 키와 연결된 계정이 지정된 요청을 승인했음을 나타냅니다.
HMAC 키는 액세스 ID와 보안 비밀의 2가지 요소로 구성되어 있습니다.
액세스 ID: 특정 계정에 연결된 영숫자 문자열입니다.
서비스 계정에 연결된 경우 문자열 길이는 61자입니다.
다음은 액세스 ID의 예시입니다.
GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA보안 비밀: 특정 액세스 ID에 연결되는 40자로 된 Base-64 인코딩 문자열입니다. 보안 비밀은 사용자와 Cloud Storage만 아는 사전 공유된 키입니다. 보안 비밀을 사용하여 인증 프로세스의 일부로 서명을 만듭니다. 다음은 보안 비밀의 예시입니다.
bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ
액세스 ID와 보안 비밀은 모두 HMAC 키를 고유하게 식별하지만, 보안 비밀은 서명을 생성하는 데 사용되므로 훨씬 더 민감한 정보로 간주됩니다.
선택적으로 리소스에 대해 restrictAuthTypes 제약조건을 사용 설정하여 HMAC 키로 서명된 요청의 액세스를 제한할 수 있습니다.
보안 비밀 저장
서비스 계정의 HMAC 키를 만들 때 키에 대한 보안 비밀은 한 번만 제공됩니다. 보안 비밀과 연결된 액세스 ID는 안전하게 저장해야 합니다. 보안 비밀을 분실한 경우에는 사용자 또는 Trusted Cloud by S3NS누구도 이를 복구할 수 없으며, 요청을 계속 인증하기 위해서는 서비스 계정에 대해 새 HMAC 키를 만들어야 합니다.
보안 비밀 저장을 위한 권장사항
HMAC 키 보안 비밀을 공유하지 마세요. HMAC 키 보안 비밀은 다른 액세스 사용자 인증 정보와 마찬가지로 취급해야 합니다.
보안 권장사항으로 키 순환 과정에서 키를 정기적으로 변경해야 합니다.
HMAC 키를 다른 사람이 사용하고 있다고 생각되면 영향을 받는 HMAC 키를 즉시 삭제하여 새로운 키를 만들어야 합니다.
HMAC 키를 변경할 때는 이전 키를 삭제하기 전에 코드를 새 HMAC 키로 업데이트해야 합니다. HMAC 키를 삭제하면 키가 즉시 무효화되며 복구할 수 없습니다.
제한사항
HMAC 키는 JSON API가 아닌 XML API에 대한 요청을 수행하는 경우에만 사용할 수 있습니다.
서비스 계정별로 최대 10개의 HMAC 키가 있을 수 있습니다. 삭제된 키는 이 한도에 포함되지 않습니다.
생성 후 서비스 계정 HMAC 키를 사용할 수 있게 될 때까지 최대 30가 걸릴 수 있습니다. 서비스 계정을 삭제한 후에도 해당 계정에 속한 HMAC 키는 최대 5분 동안 계속 작동할 수 있습니다. 반대로 키가 속하는 서비스 계정을 삭제 취소한 후 HMAC 키가 다시 사용할 수 있을 때까지 최대 5분 정도 걸릴 수 있습니다.
리소스에
restrictAuthTypes제약조건을 사용 설정하면 해당 리소스에 지정된 계정 유형의 HMAC 키를 더 이상 만들거나 활성화할 수 없습니다.