Signaturen erstellen

Auf dieser Seite wird gezeigt, wie Sie mit der Methode signBlob vonGoogle Cloud eine Signatur aus einem zu signierenden String oder einem Richtliniendokument erstellen. Signaturen werden in bestimmten Anfragen als Anmeldedaten verwendet, z. B. für signierte URLs. In dieser Anleitung werden RSA-Schlüssel zum Erstellen von Signaturen verwendet.

Hinweis

1. Enable the Service Account Credentials API.

   Roles required to enable APIs

   To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

   Enable the API

2. Sie benötigen die Berechtigung iam.serviceAccounts.signBlob für das Dienstkonto, das Sie in dieser Anleitung verwenden. Die Berechtigung iam.serviceAccounts.signBlob ist in der Rolle roles/iam.serviceAccountTokenCreator enthalten.

3. Das in dieser Anleitung verwendete Dienstkonto muss die Berechtigung zum Ausführen der Anfrage haben, die in der Signatur codiert ist. Wenn die Signatur beispielsweise zum Lesen von Objektdaten aus einem Bucket verwendet wird, muss das Dienstkonto zum Lesen der Objektdaten berechtigt sein.

Signatur erstellen

1. Installieren und initialisieren Sie die gcloud CLI, um ein Zugriffstoken für den Authorization-Header zu generieren.

2. Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:

   {
     "payload": "REQUEST_INFORMATION"
   }

   Dabei gilt:

   • REQUEST_INFORMATION ist ein zu signierender String oder ein Richtliniendokument. Für beides muss der Inhalt Base64-codiert sein.

3. Verwenden Sie cURL, um die IAM API mit einer signBlob-Anfrage aufzurufen:

   curl -X POST --data-binary @JSON_FILE_NAME \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT_EMAIL:signBlob"

   Dabei gilt:

   • JSON_FILE_NAME ist der Name der Datei, die Sie in Schritt 2 erstellt haben.

   • SERVICE_ACCOUNT_EMAIL ist die E-Mail-Adresse des Dienstkontos, das Sie zum Erstellen der Signatur verwenden möchten. Beispiel: example-service-account@my-pet-project.iam.gserviceaccount.com

   Bei erfolgreicher Ausführung wird in der Antwort im Feld signedBlob ein Message Digest zurückgegeben, der Base64-codiert ist.

4. Sorgen Sie zum Fertigstellen der Signatur dafür, dass der Message Digest Base64-decodiert ist und dann Hex-codiert wird.

Nächste Schritte

• Informieren Sie sich auf der Referenzseite zum Signieren von Blobs mit der Google Cloud CLI.
• Erstellen Sie manuell eine signierte URL mit der von Ihnen angelegten Signatur.
• Erstellen Sie eine signierte URL mit Tools von Google Cloud .
• Erfahren Sie mehr über Signaturen.