サービス アカウントの HMAC キーを管理する

概要

この ページ で は 、 プロジェクト の サービス アカウント に 関連 付ける られ た ハッシュ ベース の メッセージ 認証 コード ( hmac ) キー を 作成 、 無効 化 、 削除 する 方法 を 説明 し ます 。

始める前に

この 機能 を cloud storage で 使用 する 前 に 、 次 の 要件 を 満たす 必要 is あり が あり ます 。

1. 選択 し た プロジェクト 内 の hmac キー を 操作 する ため の 十分 な 権限 が 付与 さ れ て いる 必要 is あり が あり ます 。

2. プロジェクト に 、 hmac キー を 作成 する 対象 の サービス アカウント が 作成 さ れ て いる 必要 is あり が あり ます 。 まだ 作成 さ れ て い ない 場合 は 、 サービス アカウント の 作成 を ご覧 ください 。

3. HMAC キー認証で restrictAuthTypes 制約 が 無効 に なっ て いる 必要 is あり が あり ます 。 制約 を 確認 し て 無効 に する 方法 に つい て は 、 組織 の ポリシー の 作成 と 管理 を ご覧 ください 。

HMAC キーを作成する

重要: HMAC キーを作成すると、そのキーのシークレットが提供されます。このシークレットは安全に保管する必要があります。シークレットを紛失した場合、HMAC キーを使用してリクエストを認証できなくなります。

サービス アカウントの HMAC キーを作成するには:

コンソール

1. Google cloud コンソール で 、 cloud storage の [設定] ページ に 移動 し ます 。

   [ 設定 ] に 移動

2. [ 相互 運用 性 ] タブ を 選択 し ます 。

3. [add_box サービス アカウント 用 に キー を 作成 ] を クリック し ます 。

4. HMAC キーを関連付けるサービス アカウントを選択します。

5. [鍵を作成] をクリックします。

失敗した Cloud Storage オペレーションの詳細なエラー情報を Google Cloud コンソールで確認する方法については、トラブルシューティングをご覧ください。

コマンド ライン

hmac create コマンドを使用します。

gcloud storage hmac create

ここ で 、 は サービス アカウント に 関連 付ける られ た メール アドレス です 。 例 :Service - 7550275089395 @ My - PET - Project . iam . gserviceaccount .com

成功 し た 場合 、 レスポンス に はaccessid と secret の 値 を 含む hmac キーリソース is 含ま が 含む れ ます 。

Rest API

JSON API

1. gcloud cli の インストール と 初期 化 を 行う ます 。 これ に より 、Authorization ヘッダー の アクセス トークン を 生成 でき ます 。

2. cURL を 使用 し て 、POST hmackeys リクエスト で JSON API を 呼ぶ 出す ます 。

   curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://storage.googleapis.com/storage/v1/projects//hmacKeys?serviceAccountEmail="

   ここ で

   • は、作成するキーに関連付けられたプロジェクトの ID または番号です。例: My - PET - Project
   • は、サービス アカウントに関連付けられたメールアドレスです。例: Service - 7550275089395 @ My - PET - Project . iam . gserviceaccount .com

XML API

1. gcloud cli の インストール と 初期 化 を 行う ます 。 これ に より 、Authorization ヘッダー の アクセス トークン を 生成 でき ます 。

2. cURL を 使用 し て 、POST hmac キーリクエスト で XML API を 呼ぶ 出す ます 。

   curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://storage.googleapis.com/?Action=CreateAccessKey&UserName="

   ここ で 、 は サービス アカウント に 関連 付ける られ た メール アドレス です 。 例 :Service - 7550275089395 @ My - PET - Project . iam . gserviceaccount .com

注: 作成 後 、 サービス アカウント の hmac キー が 使用 可能 に なる まで に 最大 で 30 秒 を 要する 場合 is あり が あり ます 。

HMAC キーの情報を取得する

プロジェクトの HMAC キーを一覧表示し、キーに関する情報を取得するには:

コンソール

1. Google cloud コンソール で 、 cloud storage の [設定] ページ に 移動 し ます 。

   [ 設定 ] に 移動

2. [ 相互 運用 性 ] タブ を 選択 し ます 。

   hmac キー が 関連 付ける られ て いる サービス アカウント は 、 [ サービス アカウント の hmac ] セクション の [ サービス アカウント の アクセス キー ] サブセクション に 表示 さ れ ます 。

3. 特定 の サービス アカウント の 名前 を クリック する と 、 その サービス アカウント に 関連 付ける られ た hmac キー と 、 それ ら の キー の ステータス is 表示 が 表示 さ れ ます 。

コマンド ライン

1. hmac list コマンドを使用して、プロジェクトの HMAC キーを一覧表示します。

   gcloud storage hmac list

   成功した場合、コマンドは HMAC キーのアクセス ID のリストと各キーの状態、各キーに関連付けられているサービス アカウントを返します。

2. hmac describe コマンド を 使用 し て 、 特定 の キー の メタデータ を 取得 し ます 。

   gcloud storage hmac describe  

   は、目的のキーのアクセス ID です。

Rest API

JSON API

1. gcloud cli の インストール と 初期 化 を 行う ます 。 これ に より 、Authorization ヘッダー の アクセス トークン を 生成 でき ます 。

2. cURL を 使用 し て 、LIST hmackeys リクエスト で JSON API を 呼ぶ 出す ます 。

   curl - x get \ 
      - H ＂ authorization : Bearer $ ( gcloud auth Print - ACCESS - token ) " \ 
      - H ＂ Content - Type : Application / json ＂ \ 
      " https : / / storage . googleapis . com / storage / V 1 / projects / / hmackeys "

   ここ で 、 は一覧を取得するキーに関連付けられたプロジェクトの ID または番号です。例: My - PET - Project

XML API

1. gcloud cli の インストール と 初期 化 を 行う ます 。 これ に より 、Authorization ヘッダー の アクセス トークン を 生成 でき ます 。

2. cURL を 使用 し て 、GET hmac キーリクエスト で XML API を 呼ぶ 出す ます 。

   curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://storage.googleapis.com/?Action=ListAccessKeys&UserName="

   ここ で 、 は サービス アカウント に 関連 付ける られ た メール アドレス です 。 例 :Service - 7550275089395 @ My - PET - Project . iam . gserviceaccount .com

HMAC キーの状態を更新する

HMAC キーの状態をアクティブと非アクティブの間で切り替えるには:

コンソール

1. Google cloud コンソール で 、 cloud storage の [設定] ページ に 移動 し ます 。

   [ 設定 ] に 移動

2. [ 相互 運用 性 ] タブ を 選択 し ます 。

3. [サービス アカウントのアクセスキー] サブセクションで、ステータスを更新する HMAC キーに関連付けられているサービス アカウントの名前をクリックします。

4. 更新する鍵のステータスをクリックします。

コマンド ライン

hmac update コマンドを使用します。

gcloud storage hmac update  

ここ で

• は 、 更新 する 鍵 に 関連 付ける られ た アクセス ID です 。
• は --activate か ー deactivate の どちら か です 。

成功すると、更新された HMAC キーのメタデータが返されます。

HMAC キーの状態を変更すると、状態の変化が Cloud Storage システムを通じて反映されるまで最大で 3 分かかります。このため、HMAC キーを非アクティブにしてからキーを削除するまで、少なくとも 3 分待つ必要があります。

hmac キー を 削除 する

注意: 削除した HMAC キーを復元することはできません。HMAC キーを保持するものの、使用されないようにするには、INACTIVE に キー の 状態 を 設定 し て ください 。

hmac キー を 削除 するには、キーが非アクティブ状態になっている必要があります。非アクティブな hmac キー を 削除 するには:

コンソール

1. Google cloud コンソール で 、 cloud storage の [設定] ページ に 移動 し ます 。

   [ 設定 ] に 移動

2. [ 相互 運用 性 ] タブ を 選択 し ます 。

3. [ サービス アカウント の アクセス キー ] サブセクション で 、 削除 する hmac キー に 関連 付ける られ て いる サービス アカウント の 名前 を クリック し ます 。

4. 削除するキーに対応するゴミ箱アイコンをクリックします。

5. 表示 さ れ た ダイアログ で 、 ウィンドウ に 表示 さ れ て いる アクセス キー ID の 最初 の 10 文字 を 入力 し ます 。

6. [ 削除 ] を クリック し ます 。

コマンド ライン

hmac Delete コマンドを使用します。

gcloud storage hmac Delete 

ここ で 、 は、削除する鍵に関連付けられたアクセス ID です。

成功すると、コマンドはレスポンスを返しません。

Rest API

JSON API

1. gcloud cli の インストール と 初期 化 を 行う ます 。 これ に より 、Authorization ヘッダー の アクセス トークン を 生成 でき ます 。

2. cURL を 使用 し て 、DELETE hmackeys リクエスト で JSON API を 呼ぶ 出す ます 。

   curl - x DELETE \ 
      - H ＂ authorization : Bearer $ ( gcloud auth Print - ACCESS - token ) " \ 
      " https : / / storage . googleapis . com / storage / V 1 / projects / / hmackeys / "

   ここ で

   • は、削除するキーに関連付けられたプロジェクトの ID または番号です。例: My - PET - Project
   • は、削除するキーに関連付けられたアクセス ID です。

次のステップ