La signature V4 est un processus permettant de générer des signatures pour l'authentification dans les requêtes de l'API XML Cloud Storage. Cette page explique comment utiliser Google Cloud CLI et les bibliothèques clientes Cloud Storage pour créer des URL signées à l'aide d'identifiants de compte de service. Les URL signées offrent un accès en lecture ou en écriture limité dans le temps à une ressource Cloud Storage spécifique. Si vous souhaitez créer votre propre programme pour créer des URL signées, consultez la page Signature V4 avec votre propre programme.
Avant de commencer
Pour créer des URL signées, effectuez les tâches décrites dans les sections suivantes.
Activer l'API Service Account Credentials
Enable the Service Account Credentials API.
Obtenir les rôles requis
Pour obtenir les autorisations requises pour créer une URL signée permettant de télécharger et d'importer des objets, demandez à votre administrateur d'attribuer les rôles suivants:
Utilisateur des objets de l'espace de stockage (
roles/storage.objectUser
): ce rôle est requis pour télécharger, importer et écraser des objets. Ce rôle doit être attribué au compte de service dont la clé sera utilisée pour signer l'URL.Si vous ne souhaitez télécharger que des objets, demandez à votre administrateur d'attribuer au compte de service le rôle "Lecteur des objets Storage" (
roles/storage.objectViewer
) au lieu du rôle "Utilisateur des objets Storage".Si vous souhaitez importer uniquement des objets (sans les écraser), demandez à votre administrateur d'attribuer au compte de service le rôle "Créateur des objets de l'espace de stockage" (
roles/storage.objectCreator
) au lieu du rôle "Utilisateur des objets de l'espace de stockage".
Créateur de jetons du compte de service (
roles/iam.serviceAccountTokenCreator
): ce rôle est requis pour générer des identifiants éphémères pour un compte de service lorsqu'aucun fichier de clé privée n'est fourni localement. Ce rôle doit être attribué au compte principal qui créera l'URL signée.Si vous utilisez des identifiants utilisateur pour l'authentification, votre identité d'utilisateur doit disposer de ce rôle. Vous devez modifier les commandes pour emprunter l'identité du compte de service utilisé pour signer l'URL.
Si vous utilisez un compte de service associé à une instance de calcul pour l'authentification, le compte de service doit disposer de ce rôle pour emprunter son identité, et vous devez modifier les commandes pour emprunter l'identité du compte de service utilisé pour signer l'URL.
Si vous utilisez un fichier de clé privée pour l'authentification, ce rôle n'est pas nécessaire.
Ces rôles prédéfinis contiennent les autorisations requises pour qu'un compte de service puisse télécharger et importer des objets à l'aide d'URL signées. Pour afficher les autorisations exactes requises, développez la section Autorisations requises:
Autorisations requises
storage.objects.get
storage.objects.create
(non obligatoire si vous souhaitez uniquement télécharger des objets)storage.objects.delete
(non obligatoire si vous n'avez pas besoin d'écraser des objets lors de l'importation)iam.serviceAccounts.signBlob
(facultatif si vous prévoyez de fournir une clé de compte de service localement pour créer la signature, ce qui ne nécessite pas d'appeler la méthodesignBlob
)
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis. Pour connaître les rôles et les autorisations associées, consultez la page Rôles IAM pour Cloud Storage.
Pour savoir comment attribuer des rôles aux projets, consultez la page Gérer l'accès aux projets.
Créer une URL signée pour télécharger un objet
Pour créer une URL signée permettant d'obtenir un objet à partir d'un bucket, procédez comme suit :
Ligne de commande
Générez une nouvelle clé privée ou utilisez une clé privée existante pour un compte de service. La clé doit être au format JSON.
Pour en savoir plus sur les clés privées et les comptes de service, consultez la page Comptes de service.
Exécutez la commande
gcloud storage sign-url
. Par exemple, la commande suivante crée une URL signée permettant aux utilisateurs de télécharger un objet pendant 10 minutes :gcloud storage sign-url gs://BUCKET_NAME/OBJECT_NAME --private-key-file=KEY_FILE --duration=10m
Où :
BUCKET_NAME
correspond au nom du bucket où se trouve l'objet. Par exemple,example-bucket
.OBJECT_NAME
correspond au nom de l'objet à télécharger. Par exemple,cat.jpeg
.KEY_FILE
est le chemin d'accès au fichier contenant la clé privée de votre compte de service. Exemple :Desktop/private-key.json
.
En cas de réussite, la réponse doit se présenter comme suit :
--- expiration: '2023-07-14 23:19:35' http_verb: GET resource: gs://example-bucket/cat.jpeg signed_url: https://storage.googleapis.com/example-bucket/cat.jpeg? x-goog-signature=11ae9c61ca84dd0bec319f7d52a38029e5873caa2eeced0568 ef96076258cfc1a925a9683cc907d210036b61af9e06a13bf4a15b15fab3916669b e2f4c9f66ea6be822bec5858af519a6da705415b5768721197be213103fa09b8a18 8a143be77a24351517ff208a2c62cfebb78040daf1f953907080bd98f9462739d11 1355b1d9bcf54705b862f37392c031fde0d52add1a4d3bbb98a22e8b7023f6a1623 2e0a2dd56e524d410624d28663e557fafaf4ba0a04290a1066f894713857b429258 d14f056066c7622baf114c124e645688e19b4df3c4a7925f580693c93fa9c1dae7f dff0edff7259c72f3f0eadc5a9f9f556c83c9c8dc02ee3af8d20ab634bad&x-goog -algorithm=GOOG4-RSA-SHA256&x-goog-credential=example%40example-pro ject.iam.gserviceaccount.com%2F20230714%2Fus%2Fstorage%2Fgoog4_requ est&x-goog-date=20230714T221935Z&x-goog-expires=600&x-goog-signedhe aders=host
Toute personne disposant de cette URL peut accéder à la ressource associée (dans le cas présent,
cat.jpeg
) pendant la période indiquée (ici, 10 minutes).
Bibliothèques clientes
C++
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C++.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
C#
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C#.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Go
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Go.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Java
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Java.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Node.js
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Node.js.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
PHP
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage PHP.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Python
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Python.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Ruby
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Ruby.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Créer une URL signée pour importer un objet
Pour créer une URL signée permettant d'importer un objet dans un bucket, procédez comme suit :
Ligne de commande
Générez une nouvelle clé privée ou utilisez une clé privée existante pour un compte de service. La clé peut être au format JSON ou PKCS12.
Pour en savoir plus sur les clés privées et les comptes de service, consultez la page Comptes de service.
Exécutez la commande
gcloud storage sign-url
. Par exemple, la commande suivante crée une URL signée permettant aux utilisateurs d'importer un fichier pendant une heure :gcloud storage sign-url gs://BUCKET_NAME/OBJECT_NAME --private-key-file=KEY_FILE --http-verb=PUT --duration=1h --headers=Content-Type=CONTENT_TYPE
BUCKET_NAME
est le nom du bucket dans lequel l'objet est importé. Exemple :example-bucket
.OBJECT_NAME
est le nom à attribuer à l'objet importé. Par exemple,cat.png
.KEY_FILE
est le chemin d'accès au fichier contenant la clé privée de votre compte de service. Exemple :Desktop/private-key.json
.CONTENT_TYPE
est le type de contenu de l'objet importé. Par exemple,image/png
.
En cas de réussite, la réponse doit se présenter comme suit :
--- expiration: '2023-07-14 23:35:47' http_verb: PUT resource: gs://example-bucket/cat.png signed_url: https://storage.googleapis.com/example-bucket/cat.png? x-goog-signature=2f670a686102963e0574f3c1a3b4d29ee4aa406c1528d42d2 30195d17fef73834b254314de7d7990afd48538a84b66f20010e7ecd90a900490e 6119b7e56a912f71c8d64285c40e86f31b8fec51cf8c7a61ded81de3cedac9c1ca b92474b7371740fdac20b2d8d092b15396f79443bbde954a4174ed11aef6c2cf5f a4d72a84ff60fd6003ed0a505b0e40b6207ddbaec2a15778f715c3ec7537a1b14f b6661b2abaa5736f1670a412ca7e2555c830591f0595c01ff95af7f2206abe2e27 41948c16d4bd4c7cbb25f41277ece59236c06e00ca6c63ae2eb3efc22c216bb24c e1b8b3801d07fd3a7ed3f2df3db6e59c6fc3cc76a002335dd936efd0237cf584e3 6&x-goog-algorithm=GOOG4-RSA-SHA256&x-goog-credential=example%40ex ample-project.iam.gserviceaccount.com%2F20230714%2Fus%2Fstorage%2F goog4_request&x-goog-date=20230714T223547Z&x-goog-expires=3600&x-g oog-signedheaders=Content-Type%3Bhost
Toute personne peut utiliser cette URL pour importer une ressource (ici,
cat.png
) dans le bucket Cloud Storage spécifié pour la durée indiquée (ici, 1 heure).
Bibliothèques clientes
C++
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C++.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
C#
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C#.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Go
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Go.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Java
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Java.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Node.js
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Node.js.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
PHP
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage PHP.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Python
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Python.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Ruby
Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Ruby.
Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.
Étape suivante
- Découvrez comment signer des URL avec votre propre programme.
- Apprenez-en plus sur les URL signées
- Découvrez comment importer un objet avec l'API XML.
- Informez-vous sur l'importation d'objets.