Convalidare la firma di una richiesta approvata

Ogni richiesta di approvazione di accesso approvata è firmata con una chiave di crittografia asimmetrica per convalidare l'approvazione. Le richieste approvate possono essere firmate con una chiave di proprietà di Google e gestita da Google basata su Google Cloud Google-owned and managed key o con una chiave Cloud KMS fornita dal cliente.

Quando convalidi una firma, puoi essere certo che la stringa di byte della richiesta approvata serializzata sia valida. Per completare la convalida dei contenuti dell'approvazione, devi deserializzare il messaggio e confrontarlo con i contenuti della richiesta approvata.

Prima di iniziare

Per assicurarti che il account di servizio di approvazione di accesso per la tua risorsa disponga delle autorizzazioni necessarie per verificare le firme delle richieste approvate, chiedi all'amministratore di concedere il ruolo IAM Cloud KMS CryptoKey Signer/Verifier (roles/cloudkms.signerVerifier) al account di servizio account di approvazione di accesso per la tua risorsa sulla chiave, sul keyring o sul progetto della chiave.

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al account di servizio di approvazione di accesso per la tua risorsa le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Convalidare una richiesta firmata utilizzando una chiave di proprietà di Google e gestita da Google basata su Google Cloud Google-owned and managed key

  1. Nella Google Cloud console, vai alla pagina Approvazione di accesso.

    Vai ad Approvazione di accesso

  2. Individua e seleziona la richiesta di approvazione di accesso approvata che vuoi convalidare. Si apre la pagina Dettagli richiesta.

  3. In Chiave pubblica gestita da Google, fai clic su content_copy Copia.

  4. Apri Cloud Shell, quindi salva la chiave pubblica come nuovo file denominato public_key:

    echo GOOGLE_MANAGED_PUBLIC_KEY > ./public_key

    Sostituisci GOOGLE_MANAGED_PUBLIC_KEY con i contenuti del campo Chiave pubblica gestita da Google.

  5. Nella Google Cloud console, nella pagina Dettagli richiesta, in Firma, fai clic su content_copy Copia.

  6. Apri Cloud Shell, quindi salva la firma come nuovo file denominato signature.txt:

    echo SIGNATURE > ./signature.txt

    Sostituisci SIGNATURE con i contenuti del campo Firma.

  7. Decodifica la firma utilizzando il comando base64 e salva il risultato come decoded_signature:

    base64 ./signature.txt -d > ./decoded_signature

  8. Nella Google Cloud console, nella pagina Dettagli richiesta, in Richiesta di approvazione serializzata, fai clic su content_copy Copia.

  9. Apri Cloud Shell, quindi salva la richiesta di approvazione serializzata come nuovo file denominato serialized_approval_request.txt:

    echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt

    Sostituisci SERIALIZED_APPROVAL_REQUEST con i contenuti del campo Richiesta di approvazione serializzata.

  10. Decodifica la richiesta di approvazione serializzata e salva il risultato come decoded_serialized_approval_request:

    base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request

  11. Utilizza openssl per verificare la firma:

    openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request

    Se la firma è valida, l'output dovrebbe essere Verified OK. Questo conferma che la richiesta di approvazione serializzata è valida.

Convalidare una richiesta firmata utilizzando una chiave fornita dal cliente

  1. Nella Google Cloud console, vai alla pagina Approvazione di accesso.

    Vai ad Approvazione di accesso

  2. Individua e seleziona la richiesta di approvazione di accesso approvata che vuoi convalidare. Si apre la pagina Dettagli richiesta.

  3. Nella Google Cloud console, nella pagina Dettagli richiesta, in Firma, fai clic su content_copy Copia.

  4. Apri Cloud Shell, quindi salva la firma come nuovo file denominato signature.txt:

    echo SIGNATURE > ./signature.txt

    Sostituisci SIGNATURE con i contenuti del campo Firma.

  5. Decodifica la firma e salva il risultato come decoded_signature:

    base64 ./signature.txt -d > ./decoded_signature

  6. Nella Google Cloud console, nella pagina Dettagli richiesta, in Richiesta di approvazione serializzata, fai clic su content_copy Copia.

  7. Apri Cloud Shell, quindi salva la richiesta di approvazione serializzata come nuovo file denominato serialized_approval_request.txt:

    echo SERIALIZED_APPROVAL_REQUEST > ./serialized_approval_request.txt

    Sostituisci SERIALIZED_APPROVAL_REQUEST con i contenuti del campo Richiesta di approvazione serializzata.

  8. Decodifica la richiesta di approvazione serializzata e salva il risultato come decoded_serialized_approval_request:

    base64 ./serialized_approval_request.txt -d > ./decoded_serialized_approval_request

  9. In Chiave gestita dal cliente, prendi nota dell'identificatore di risorsa di la chiave.

  10. Recupera la chiave pubblica per la chiave che hai identificato nel passaggio precedente. Salva la chiave pubblica scaricata in formato PEM come ./public_key.

  11. Utilizza openssl per verificare la firma:

    openssl dgst \
    -sha256 \
    -verify ./public_key \
    -signature ./decoded_signature \
    ./decoded_serialized_approval_request

    Se la firma è valida, l'output dovrebbe essere Verified OK. Questo conferma che la richiesta di approvazione serializzata è valida.