Rumah Kewangan Peribadi Amazon Web Services API Security - dummies

Amazon Web Services API Security - dummies

Video: ep 2: How to secure your AWS Gateway API with API key (tutorial with screencast and test) 2025

Video: ep 2: How to secure your AWS Gateway API with API key (tutorial with screencast and test) 2025
Anonim

Berikut adalah soalan yang jelas apabila berurusan dengan proksi pihak ketiga: Jika alat ini bertindak bagi pihak anda, bagaimana Perkhidmatan Web Amazon (AWS) tahu bahawa orang yang mewakili mereka bertindak sebenarnya anda? Dengan kata lain, bagaimanakah AWS dapat mengesahkan identiti anda untuk memastikan bahawa arahan yang diterima oleh anda adalah dari anda?

Malah, soalan yang sama adalah sah walaupun anda berinteraksi langsung dengan API AWS. Bagaimanakah AWS dapat mengesahkan identiti anda untuk memastikan ia melaksanakan perintah hanya untuk anda?

Suatu cara, tentu saja, adalah untuk anda memasukkan nama pengguna dan kata laluan akaun anda dalam panggilan API. Walaupun beberapa pembekal awan mengambil pendekatan ini, Amazon tidak.

Daripada bergantung pada nama pengguna dan kata laluan, ia bergantung kepada dua pengecam lain untuk mengesahkan panggilan perkhidmatan APInya: kunci akses dan kunci akses rahsia. Ia menggunakan kunci ini dalam panggilan perkhidmatan untuk melaksanakan keselamatan dengan cara yang lebih selamat daripada hanya menggunakan nama pengguna dan kata laluan anda.

Jadi bagaimana ia berfungsi? Apabila anda mendaftar untuk akaun dengan AWS, anda mempunyai peluang untuk membuat kunci akses dan mempunyai kunci akses rahsia yang dihantar kepada anda. Setiap satu adalah rentetan rentetan aksara yang panjang, dan kunci akses rahsia adalah lebih lama dari kedua-dua. Apabila anda memuat turun kunci akses rahsia, anda harus menyimpannya di tempat yang sangat selamat kerana ia adalah kunci (maaf - buruk pun) untuk melaksanakan panggilan perkhidmatan yang selamat.

Selepas anda melakukan ini, anda dan Amazon mempunyai salinan kekunci akses dan kunci akses rahsia. Mengekalkan salinan kunci akses rahsia adalah penting kerana ia digunakan untuk menyulitkan maklumat yang dihantar bolak-balik antara anda dan AWS, dan jika anda tidak mempunyai Kunci Akses Rahsia, anda tidak boleh melaksanakan sebarang panggilan perkhidmatan pada AWS.

Cara kedua-dua kekunci digunakan secara konseptual mudah, walaupun agak mencabar secara terperinci.

Pada asasnya, untuk setiap panggilan perkhidmatan yang anda mahu lakukan, anda (atau alat yang berfungsi untuk pihak anda) lakukan perkara berikut:

  1. Buat muatan panggilan perkhidmatan.

    Ini adalah data yang anda perlu hantar ke AWS. Ia mungkin merupakan objek yang anda mahu simpan dalam S3 atau pengenal imej imej yang anda mahu lancarkan. (Anda juga akan melampirkan maklumat lain ke muatan, tetapi kerana mereka berbeza-beza mengikut spesifikasi panggilan perkhidmatan, mereka tidak disenaraikan di sini. Salah satu data ialah masa semasa.)

  2. Sulitkan muatan menggunakan kunci akses rahsia.

    Melakukannya memastikan tiada siapa yang dapat memeriksa muatan dan mengetahui apa yang ada di dalamnya.

  3. Secara digital menandatangani muatan yang disulitkan dengan menambah kunci akses rahsia kepada muatan yang disulitkan dan melaksanakan proses tandatangan digital menggunakan kunci akses rahsia.

    Kekunci akses rahsia lebih lama dan lebih rawak daripada kata laluan pengguna biasa; kunci akses rahsia yang panjang menjadikan enkripsi dilakukan dengan lebih selamat daripada jika ia dilakukan dengan kata laluan pengguna biasa.

  4. Hantar jumlah muatan yang disulitkan, bersama kunci akses anda, ke AWS melalui panggilan perkhidmatan.

    Amazon menggunakan kekunci akses untuk mencari kunci akses rahsia anda, yang digunakan untuk mendekripsi muatan. Jika muatan yang disahsulit mewakili teks yang boleh dibaca yang boleh dilaksanakan, AWS melaksanakan panggilan perkhidmatan. Jika tidak, ia menyimpulkan bahawa sesuatu adalah salah dengan panggilan perkhidmatan (mungkin ia dipanggil oleh pelakon jahat) dan tidak melaksanakan panggilan perkhidmatan.

Sebagai tambahan kepada penyulitan yang diterangkan, AWS mempunyai dua kaedah lain yang digunakan untuk memastikan kesahihan panggilan perkhidmatan:

  • Yang pertama adalah berdasarkan maklumat tarikh yang disertakan dengan muatan panggilan perkhidmatan, yang digunakan untuk menentukan sama ada masa yang berkaitan dengan membuat panggilan perkhidmatan adalah sesuai; jika tarikh dalam panggilan perkhidmatan jauh berbeza daripada apa yang sepatutnya (lebih awal atau lebih awal dari masa sekarang, dengan kata lain), AWS menyimpulkan bahawa ia bukan panggilan perkhidmatan yang sah dan membuangnya.

  • Langkah keselamatan tambahan kedua melibatkan checksum yang anda kira untuk muatan. (A checksum adalah nombor yang mewakili kandungan mesej.) AWS mengira cek untuk muatan; jika pemeriksaannya tidak bersetuju dengan anda, ia tidak membenarkan panggilan perkhidmatan dan tidak melaksanakannya.

    Pendekatan checksum ini memastikan bahawa tiada siapa yang merosakkan kandungan mesej dan menghalang seorang pelakon jahat dari memintas panggilan perkhidmatan yang sah dan mengubahnya untuk melakukan tindakan yang tidak dapat diterima. Sekiranya seseorang mengecewakan mesej tersebut, apabila AWS mengira cek, pengecas itu tidak lagi sepadan dengan yang termasuk dalam mesej, dan AWS enggan melaksanakan panggilan perkhidmatan.

Jika, seperti kebanyakan pengguna AWS, anda menggunakan kaedah proksi untuk berinteraksi dengan AWS - konsol pengurusan AWS, pustaka bahasa, atau alat pihak ketiga - anda perlu menyediakan kunci capaian dan kunci akses rahsia kepada proksi. Apabila proksi melaksanakan perkhidmatan AWS panggilan bagi pihak anda, ia termasuk kunci akses dalam panggilan dan menggunakan kunci akses rahsia untuk melakukan penyulitan muatan.

Oleh kerana peranan kritikal yang memenuhi kunci-kunci ini dalam AWS, anda harus berkongsi hanya dengan entiti yang anda percayai. Sekiranya anda ingin mencuba alat pihak ketiga yang baru dan anda tidak tahu banyak mengenai syarikat itu, buat akaun ujian AWS untuk perbicaraan dan bukannya menggunakan kelayakan akaun AWS pengeluaran anda.

Dengan cara itu, jika anda memutuskan untuk tidak meneruskan dengan alat ini, anda boleh menggugurkannya, menamatkan akaun AWS ujian, dan bergerak maju, tanpa peduli tentang kelemahan keselamatan yang potensial di dalam akaun pengeluaran utama anda. Sudah tentu, anda sentiasa boleh mencipta kunci akses baru dan kunci akses rahsia, tetapi menggunakan kunci pengeluaran anda untuk ujian dan kemudian mengubah kunci mencipta banyak kerja, kerana anda perlu mengemas kini setiap tempat yang merujuk kepada kunci yang ada.

Jika anda seperti banyak pengguna AWS lain, anda akan menggunakan beberapa alat dan perpustakaan, dan kembali kepada mereka untuk mengemas kini kunci anda adalah rasa sakit. Anda lebih baik menggunakan akaun bukan pengeluaran untuk menguji alat baru.

Amazon Web Services API Security - dummies

Pilihan Editor

5 Perkara yang boleh dilakukan oleh GoPro Camera - dummies

5 Perkara yang boleh dilakukan oleh GoPro Camera - dummies

Apa yang boleh dilakukan oleh GoPro? Inilah soalan yang lebih relevan: Apa yang anda mahu lakukan? Meminta soalan ini lebih seperti menanyakan diri anda tentang keinginan dan hasrat anda sendiri untuk rakaman video yang unik. Apabila anda menentukan apa yang anda ingin tangkap, semua yang anda perlu lakukan ialah menyambungkan kamera ke gunung yang sesuai ...

Pengaturan & Pintasan dSLR Untuk Menipu Cheat Sheet - dummies

Pengaturan & Pintasan dSLR Untuk Menipu Cheat Sheet - dummies

Anda mempunyai refleks kanta tunggal digital yang besar (dSLR ) kamera dan mahu menangkap beberapa gambar indah masa-masa hidup anda. Untuk sepenuhnya menguasai dSLR anda dan membuat gambar yang menarik, anda mesti menceburkan diri ke dunia baru yang berani yang melibatkan membuat keputusan tentang mod penangkapan. Mengetahui panjang fokus apa yang digunakan dalam ...

Pilihan Editor

Bagaimana Menggunakan Lapisan Masker Gradient dan Brush Masker di Photoshop CS6 - lapisan masker

Bagaimana Menggunakan Lapisan Masker Gradient dan Brush Masker di Photoshop CS6 - lapisan masker

Lapisan lapisan di Photoshop CS6 membolehkan anda secara beransur-ansur berus dalam ketelusan dan kelegapan pada asas pixel selektif. Dua alat pelapis lapisan - Alat Gradien dan Brush - lebih kerap digunakan berbanding yang lain: Alat Gradien: Menetapkan alat ini kepada kecerunan linear hitam ke putih atau putih ke ...

Cara Menggunakan Kuler untuk Cari dan Kongsi Tema Warna di Photoshop CS6 - dummies

Cara Menggunakan Kuler untuk Cari dan Kongsi Tema Warna di Photoshop CS6 - dummies

Sumber yang tersedia untuk Adobe Photoshop Creative Suite 6 adalah luas. Kuler adalah komuniti dalam talian yang menyediakan tema warna untuk anda menyemak imbas, memuat turun, membuat, mengedit, dan memuat naik untuk berkongsi dengan orang lain. Gunakan tema ini apabila membuat projek cetak grafik atau laman web. Apa yang anda perlukan ialah sambungan Internet dan Adobe ID. Di sini ...

Cara Menggunakan Kata Kunci untuk Photoshop CS6 Files dalam Bridge - dummies

Cara Menggunakan Kata Kunci untuk Photoshop CS6 Files dalam Bridge - dummies

Kata kunci adalah label deskriptif yang anda lampirkan ke fail di Bridge. Mereka membantu untuk mengkategorikan imej Photoshop CS6 anda, membolehkan anda lebih cekap dan cepat mencari fail yang anda inginkan. Berikut adalah downside untuk membuat dan menggunakan kata kunci: Untuk membuat kata kunci baru (folder kategori yang mengandungi kata kunci): Klik ikon tanda tambah (+) ...

Pilihan Editor

Dengan Touch dengan Nota Reka bentuk - dummies

Dengan Touch dengan Nota Reka bentuk - dummies

Nota reka bentuk adalah sesuai untuk berkomunikasi dengan pemaju lain yang bekerja pada Laman web, tetapi tidak dalam jarak menjerit. Ciri Dreamweaver ini berfungsi seperti tag komen (kod HTML yang membolehkan anda memasukkan teks dalam halaman yang tidak akan dipaparkan dalam penyemak imbas) tetapi dengan privasi lebih banyak. Ramai pemaju menggunakan ...

Memenuhi Dreamweaver CS3 Common Insert Bar - dummies

Memenuhi Dreamweaver CS3 Common Insert Bar - dummies

Jangan berfikir bahawa toolbar Dreamweaver CS3 Common Insert biasa dan biasa. Ia hanya dipanggil "umum" kerana ia menawarkan perintah memasukkan yang paling kerap digunakan kerana ia adalah yang paling berguna. Dengan bilah alat yang ditunjukkan di sini, anda boleh memasukkan segala-galanya dari pautan e-mel kepada tarikh kepada mana-mana media yang ingin anda letakkan ...

Gambaran Keseluruhan Alignment Imej dalam Adobe CS5 Dreamweaver - dummies

Gambaran Keseluruhan Alignment Imej dalam Adobe CS5 Dreamweaver - dummies

Penjajaran imej dan teks bersebelahan mereka di Adobe Suite Creative 5 (Adobe CS5) Dreamweaver adalah mudah, tetapi pilihan yang ada mungkin membuat kelihatan terlalu rumit. Imej dan teks bersebelahan mereka duduk pada garis dasar yang sama sebagai lalai, memaksa teks berjalan dalam satu baris ke kanan imej. Untuk ...