本頁討論雜湊架構訊息驗證代碼 (HMAC) 金鑰,您可以使用這個金鑰驗證傳送到 Cloud Storage XML API 的要求。在其他雲端儲存供應商和 Cloud Storage 之間移動資料時,HMAC 金鑰非常實用,因為 HMAC 金鑰能讓您重複使用既有代碼來存取 Cloud Storage。
總覽
HMAC 金鑰是與帳戶 (通常是服務帳戶) 相關聯的「憑證」。您可以使用 HMAC 金鑰,透過 HMAC-SHA256 簽章演算法建立「簽名」。您建立的簽名會加入傳送至 Cloud Storage XML API 的要求中。簽名代表特定要求已經過與 HMAC 金鑰相關聯的帳戶授權。
HMAC 金鑰有兩個主要部分:「存取權 ID」和「密鑰」。
存取 ID:與特定帳戶連結的英數字串。
連結至服務帳戶時,字串長度為 61 個字元。
以下是存取 ID 的範例:
GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA密鑰:由 40 個字元組成且以 Base-64 編碼的字串,與特定存取 ID 連結。密鑰是只有您和 Cloud Storage 知道的預先共用金鑰。您需使用密鑰建立簽章,才能完成驗證程序。以下為密鑰範例:
bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ
存取權 ID 和密鑰都是 HMAC 金鑰的唯一識別碼,但由於密鑰會用於建立簽名,所以是更為機密的資訊。
您可以選擇在資源上啟用 restrictAuthTypes 限制,限制透過 HMAC 金鑰簽署的要求存取權。
儲存密鑰
為服務帳戶建立 HMAC 金鑰時,系統會為您提供該金鑰的密鑰一次。請妥善保管這個密鑰及相關的「存取權 ID」。如果您遺失密鑰,您或 Trusted Cloud by S3NS都無法擷取密碼,此時您必須為服務帳戶建立新的 HMAC 金鑰,才能繼續驗證要求。
儲存密鑰的最佳做法
請勿分享 HMAC 金鑰密鑰。請將 HMAC 金鑰密鑰視同一般存取憑證妥善使用。
為了確保最佳安全性,建議您定期變更金鑰以完成金鑰輪替。
如果您認為其他人正在使用您的 HMAC 金鑰,請立即刪除受影響的 HMAC 金鑰,然後建立新的金鑰。
變更 HMAC 密鑰時,應在刪除舊金鑰之前使用新的 HMAC 金鑰更新代碼。刪除 HMAC 金鑰後,金鑰會立即失效,且無法復原。
限制
HMAC 密鑰只能用於向 XML API 傳送要求,而不能將要求傳送到 JSON API。
每個服務帳戶最多可有 10 個 HMAC 金鑰。不過,已刪除的金鑰不會計入這項限制配額。
建立完成後,服務帳戶 HMAC 金鑰最多可能需要 60 秒才能使用。刪除服務帳戶後,該帳戶的 HMAC 金鑰最多可能會繼續運作 5 分鐘。反之,取消刪除擁有 HMAC 金鑰的服務帳戶後,最多可能需要 5 分鐘,HMAC 金鑰才能再次使用。
如果您在資源上啟用
restrictAuthTypes限制,就無法再為該資源中指定的帳戶類型建立或啟用 HMAC 金鑰。