Rumah Kewangan Peribadi Amazon Web Services API Security - dummies

Amazon Web Services API Security - dummies

Video: ep 2: How to secure your AWS Gateway API with API key (tutorial with screencast and test) 2025

Video: ep 2: How to secure your AWS Gateway API with API key (tutorial with screencast and test) 2025
Anonim

Berikut adalah soalan yang jelas apabila berurusan dengan proksi pihak ketiga: Jika alat ini bertindak bagi pihak anda, bagaimana Perkhidmatan Web Amazon (AWS) tahu bahawa orang yang mewakili mereka bertindak sebenarnya anda? Dengan kata lain, bagaimanakah AWS dapat mengesahkan identiti anda untuk memastikan bahawa arahan yang diterima oleh anda adalah dari anda?

Malah, soalan yang sama adalah sah walaupun anda berinteraksi langsung dengan API AWS. Bagaimanakah AWS dapat mengesahkan identiti anda untuk memastikan ia melaksanakan perintah hanya untuk anda?

Suatu cara, tentu saja, adalah untuk anda memasukkan nama pengguna dan kata laluan akaun anda dalam panggilan API. Walaupun beberapa pembekal awan mengambil pendekatan ini, Amazon tidak.

Daripada bergantung pada nama pengguna dan kata laluan, ia bergantung kepada dua pengecam lain untuk mengesahkan panggilan perkhidmatan APInya: kunci akses dan kunci akses rahsia. Ia menggunakan kunci ini dalam panggilan perkhidmatan untuk melaksanakan keselamatan dengan cara yang lebih selamat daripada hanya menggunakan nama pengguna dan kata laluan anda.

Jadi bagaimana ia berfungsi? Apabila anda mendaftar untuk akaun dengan AWS, anda mempunyai peluang untuk membuat kunci akses dan mempunyai kunci akses rahsia yang dihantar kepada anda. Setiap satu adalah rentetan rentetan aksara yang panjang, dan kunci akses rahsia adalah lebih lama dari kedua-dua. Apabila anda memuat turun kunci akses rahsia, anda harus menyimpannya di tempat yang sangat selamat kerana ia adalah kunci (maaf - buruk pun) untuk melaksanakan panggilan perkhidmatan yang selamat.

Selepas anda melakukan ini, anda dan Amazon mempunyai salinan kekunci akses dan kunci akses rahsia. Mengekalkan salinan kunci akses rahsia adalah penting kerana ia digunakan untuk menyulitkan maklumat yang dihantar bolak-balik antara anda dan AWS, dan jika anda tidak mempunyai Kunci Akses Rahsia, anda tidak boleh melaksanakan sebarang panggilan perkhidmatan pada AWS.

Cara kedua-dua kekunci digunakan secara konseptual mudah, walaupun agak mencabar secara terperinci.

Pada asasnya, untuk setiap panggilan perkhidmatan yang anda mahu lakukan, anda (atau alat yang berfungsi untuk pihak anda) lakukan perkara berikut:

  1. Buat muatan panggilan perkhidmatan.

    Ini adalah data yang anda perlu hantar ke AWS. Ia mungkin merupakan objek yang anda mahu simpan dalam S3 atau pengenal imej imej yang anda mahu lancarkan. (Anda juga akan melampirkan maklumat lain ke muatan, tetapi kerana mereka berbeza-beza mengikut spesifikasi panggilan perkhidmatan, mereka tidak disenaraikan di sini. Salah satu data ialah masa semasa.)

  2. Sulitkan muatan menggunakan kunci akses rahsia.

    Melakukannya memastikan tiada siapa yang dapat memeriksa muatan dan mengetahui apa yang ada di dalamnya.

  3. Secara digital menandatangani muatan yang disulitkan dengan menambah kunci akses rahsia kepada muatan yang disulitkan dan melaksanakan proses tandatangan digital menggunakan kunci akses rahsia.

    Kekunci akses rahsia lebih lama dan lebih rawak daripada kata laluan pengguna biasa; kunci akses rahsia yang panjang menjadikan enkripsi dilakukan dengan lebih selamat daripada jika ia dilakukan dengan kata laluan pengguna biasa.

  4. Hantar jumlah muatan yang disulitkan, bersama kunci akses anda, ke AWS melalui panggilan perkhidmatan.

    Amazon menggunakan kekunci akses untuk mencari kunci akses rahsia anda, yang digunakan untuk mendekripsi muatan. Jika muatan yang disahsulit mewakili teks yang boleh dibaca yang boleh dilaksanakan, AWS melaksanakan panggilan perkhidmatan. Jika tidak, ia menyimpulkan bahawa sesuatu adalah salah dengan panggilan perkhidmatan (mungkin ia dipanggil oleh pelakon jahat) dan tidak melaksanakan panggilan perkhidmatan.

Sebagai tambahan kepada penyulitan yang diterangkan, AWS mempunyai dua kaedah lain yang digunakan untuk memastikan kesahihan panggilan perkhidmatan:

  • Yang pertama adalah berdasarkan maklumat tarikh yang disertakan dengan muatan panggilan perkhidmatan, yang digunakan untuk menentukan sama ada masa yang berkaitan dengan membuat panggilan perkhidmatan adalah sesuai; jika tarikh dalam panggilan perkhidmatan jauh berbeza daripada apa yang sepatutnya (lebih awal atau lebih awal dari masa sekarang, dengan kata lain), AWS menyimpulkan bahawa ia bukan panggilan perkhidmatan yang sah dan membuangnya.

  • Langkah keselamatan tambahan kedua melibatkan checksum yang anda kira untuk muatan. (A checksum adalah nombor yang mewakili kandungan mesej.) AWS mengira cek untuk muatan; jika pemeriksaannya tidak bersetuju dengan anda, ia tidak membenarkan panggilan perkhidmatan dan tidak melaksanakannya.

    Pendekatan checksum ini memastikan bahawa tiada siapa yang merosakkan kandungan mesej dan menghalang seorang pelakon jahat dari memintas panggilan perkhidmatan yang sah dan mengubahnya untuk melakukan tindakan yang tidak dapat diterima. Sekiranya seseorang mengecewakan mesej tersebut, apabila AWS mengira cek, pengecas itu tidak lagi sepadan dengan yang termasuk dalam mesej, dan AWS enggan melaksanakan panggilan perkhidmatan.

Jika, seperti kebanyakan pengguna AWS, anda menggunakan kaedah proksi untuk berinteraksi dengan AWS - konsol pengurusan AWS, pustaka bahasa, atau alat pihak ketiga - anda perlu menyediakan kunci capaian dan kunci akses rahsia kepada proksi. Apabila proksi melaksanakan perkhidmatan AWS panggilan bagi pihak anda, ia termasuk kunci akses dalam panggilan dan menggunakan kunci akses rahsia untuk melakukan penyulitan muatan.

Oleh kerana peranan kritikal yang memenuhi kunci-kunci ini dalam AWS, anda harus berkongsi hanya dengan entiti yang anda percayai. Sekiranya anda ingin mencuba alat pihak ketiga yang baru dan anda tidak tahu banyak mengenai syarikat itu, buat akaun ujian AWS untuk perbicaraan dan bukannya menggunakan kelayakan akaun AWS pengeluaran anda.

Dengan cara itu, jika anda memutuskan untuk tidak meneruskan dengan alat ini, anda boleh menggugurkannya, menamatkan akaun AWS ujian, dan bergerak maju, tanpa peduli tentang kelemahan keselamatan yang potensial di dalam akaun pengeluaran utama anda. Sudah tentu, anda sentiasa boleh mencipta kunci akses baru dan kunci akses rahsia, tetapi menggunakan kunci pengeluaran anda untuk ujian dan kemudian mengubah kunci mencipta banyak kerja, kerana anda perlu mengemas kini setiap tempat yang merujuk kepada kunci yang ada.

Jika anda seperti banyak pengguna AWS lain, anda akan menggunakan beberapa alat dan perpustakaan, dan kembali kepada mereka untuk mengemas kini kunci anda adalah rasa sakit. Anda lebih baik menggunakan akaun bukan pengeluaran untuk menguji alat baru.

Amazon Web Services API Security - dummies

Pilihan Editor

Bagaimana Menghubungkan Item Menu ke Kategori di Joomla - dummies

Bagaimana Menghubungkan Item Menu ke Kategori di Joomla - dummies

Untuk artikel yang dikategorikan dalam Joomla untuk dilihat oleh pengguna laman web anda, anda perlu memautkan item menu Joomla anda ke kategori Joomla yang mengandungi artikel yang ingin anda siarkan. Dengan menyambungkan kategori ke item menu, semua artikel dalam kategori boleh didapati melalui item menu yang berkaitan. Untuk membuat ...

Cara Memasang Joomla CMS pada Server Jauh - dummies

Cara Memasang Joomla CMS pada Server Jauh - dummies

Sebaik sahaja anda telah memuatkan fail Joomla yang tidak diturunkan di pelayan jauh dan sediakan MySQL untuk Joomla, anda sudah bersedia untuk memasang Sistem Pengurusan Kandungan Joomla (CMS). Navigasi ke tapak anda di pelayan tuan rumah. Anda melihat halaman pemasangan Joomla pertama. Pilih bahasa. Klik Seterusnya. Semua item dalam pane bahagian atas ...

Cara Membiarkan Pengguna Menguruskan Akaun Sendiri di Joomla - dummies

Cara Membiarkan Pengguna Menguruskan Akaun Sendiri di Joomla - dummies

Walaupun anda boleh mengurus pengguna dari hujung belakang, Joomla menyediakan kemudahan yang baik yang membolehkan pengguna menguruskan diri mereka juga. Anda boleh membuat halaman di mana pengguna boleh mendaftar, log masuk, menetapkan semula kata laluan mereka, diingatkan kata laluan mereka, dan sebagainya. Buat laman pengurusan pengguna Untuk membuat halaman yang membolehkan pengguna mengurus sendiri, anda ...

Pilihan Editor

Pengguna dan Definisi SharePoint berbeza - dummies

Pengguna dan Definisi SharePoint berbeza - dummies

SharePoint mempunyai banyak jenis pengguna yang berbeza, dan bergantung di mana peranan anda sesuai , anda mungkin mempunyai pengalaman yang sangat berbeza dari pengguna SharePoint yang lain. Sebagai contoh, anda mungkin ditugaskan untuk membuat dan mentadbir laman web SharePoint untuk pasukan anda. Dalam kes ini, anda mungkin melihat ke hadapan fungsi yang luas SharePoint ...

Dan Microblog dalam SharePoint - dummies

Dan Microblog dalam SharePoint - dummies

Microblogging dibuat terkenal oleh Twitter. SharePoint 2013 membawa mikroblogging ke dunia korporat. Menggunakan Twitter, anda menghantar mesej ringkas kepada dunia. Anda boleh mengikuti orang lain dan menarik pengikut anda sendiri. Anda menyebut orang lain menggunakan simbol @ yang diikuti dengan nama mereka dan boleh menanda topik menggunakan # ...

Mengeksport Table Akses ke Senarai Dalam Talian SharePoint - dummies

Mengeksport Table Akses ke Senarai Dalam Talian SharePoint - dummies

Jika anda mempunyai meja dalam Akses yang ada pangkalan data yang anda ingin sediakan untuk ahli pasukan anda yang tidak mempunyai aplikasi MS Access 2010, cara terbaik untuk melakukan ini adalah untuk mengeksport jadual tersebut ke dalam senarai SharePoint. Ikuti langkah-langkah berikut: Dari pangkalan data anda, klik kanan pada jadual di ...

Pilihan Editor

Penyediaan aSVAB: Akar - patung

Penyediaan aSVAB: Akar - patung

Menjadi akrab dengan akar untuk ASVAB. Akar adalah kebalikan dari kuasa atau eksponen. Terdapat pelbagai jenis akar tak terhingga. Anda mempunyai akar kuadrat, yang bermaksud "membuang" asas kepada kuasa kedua; akar kubus, yang bermaksud "membuang" asas yang dinaikkan kepada kuasa ketiga; akar yang keempat, untuk ...

ASVAB Penyediaan: Bekerja dengan Perpuluhan - patung

ASVAB Penyediaan: Bekerja dengan Perpuluhan - patung

Anda perlu tahu bagaimana untuk bekerja dengan perpuluhan untuk ASBAB . Perpuluhan adalah kaedah menulis nombor pecahan tanpa menggunakan pengangka dan penyebut. Anda boleh menulis pecahan 7/10 sebagai perpuluhan 0. 7; anda menyebutnya "tujuh persepuluh" atau "titik nol tujuh. "Tempoh atau titik perpuluhan menunjukkan bahawa nombor itu ...

ASVAB Subtest Details - dummies

ASVAB Subtest Details - dummies

Tergantung di mana dan untuk tujuan apa yang anda ambil ujian, anda mungkin menghadapi beberapa versi ASVAB. Versi terkomputer dari ASVAB (CAT-ASVAB) mengandungi sembilan subtest masa yang berasingan. Pada CAT-ASVAB, Maklumat Auto dan Maklumat Kedai dipisahkan kepada dua ujian berbeza, sedangkan mereka digabungkan pada versi kertas. Lihatlah ...