Rumah Kewangan Peribadi Amazon Web Services API Security - dummies

Amazon Web Services API Security - dummies

Video: ep 2: How to secure your AWS Gateway API with API key (tutorial with screencast and test) 2024

Video: ep 2: How to secure your AWS Gateway API with API key (tutorial with screencast and test) 2024
Anonim

Berikut adalah soalan yang jelas apabila berurusan dengan proksi pihak ketiga: Jika alat ini bertindak bagi pihak anda, bagaimana Perkhidmatan Web Amazon (AWS) tahu bahawa orang yang mewakili mereka bertindak sebenarnya anda? Dengan kata lain, bagaimanakah AWS dapat mengesahkan identiti anda untuk memastikan bahawa arahan yang diterima oleh anda adalah dari anda?

Malah, soalan yang sama adalah sah walaupun anda berinteraksi langsung dengan API AWS. Bagaimanakah AWS dapat mengesahkan identiti anda untuk memastikan ia melaksanakan perintah hanya untuk anda?

Suatu cara, tentu saja, adalah untuk anda memasukkan nama pengguna dan kata laluan akaun anda dalam panggilan API. Walaupun beberapa pembekal awan mengambil pendekatan ini, Amazon tidak.

Daripada bergantung pada nama pengguna dan kata laluan, ia bergantung kepada dua pengecam lain untuk mengesahkan panggilan perkhidmatan APInya: kunci akses dan kunci akses rahsia. Ia menggunakan kunci ini dalam panggilan perkhidmatan untuk melaksanakan keselamatan dengan cara yang lebih selamat daripada hanya menggunakan nama pengguna dan kata laluan anda.

Jadi bagaimana ia berfungsi? Apabila anda mendaftar untuk akaun dengan AWS, anda mempunyai peluang untuk membuat kunci akses dan mempunyai kunci akses rahsia yang dihantar kepada anda. Setiap satu adalah rentetan rentetan aksara yang panjang, dan kunci akses rahsia adalah lebih lama dari kedua-dua. Apabila anda memuat turun kunci akses rahsia, anda harus menyimpannya di tempat yang sangat selamat kerana ia adalah kunci (maaf - buruk pun) untuk melaksanakan panggilan perkhidmatan yang selamat.

Selepas anda melakukan ini, anda dan Amazon mempunyai salinan kekunci akses dan kunci akses rahsia. Mengekalkan salinan kunci akses rahsia adalah penting kerana ia digunakan untuk menyulitkan maklumat yang dihantar bolak-balik antara anda dan AWS, dan jika anda tidak mempunyai Kunci Akses Rahsia, anda tidak boleh melaksanakan sebarang panggilan perkhidmatan pada AWS.

Cara kedua-dua kekunci digunakan secara konseptual mudah, walaupun agak mencabar secara terperinci.

Pada asasnya, untuk setiap panggilan perkhidmatan yang anda mahu lakukan, anda (atau alat yang berfungsi untuk pihak anda) lakukan perkara berikut:

  1. Buat muatan panggilan perkhidmatan.

    Ini adalah data yang anda perlu hantar ke AWS. Ia mungkin merupakan objek yang anda mahu simpan dalam S3 atau pengenal imej imej yang anda mahu lancarkan. (Anda juga akan melampirkan maklumat lain ke muatan, tetapi kerana mereka berbeza-beza mengikut spesifikasi panggilan perkhidmatan, mereka tidak disenaraikan di sini. Salah satu data ialah masa semasa.)

  2. Sulitkan muatan menggunakan kunci akses rahsia.

    Melakukannya memastikan tiada siapa yang dapat memeriksa muatan dan mengetahui apa yang ada di dalamnya.

  3. Secara digital menandatangani muatan yang disulitkan dengan menambah kunci akses rahsia kepada muatan yang disulitkan dan melaksanakan proses tandatangan digital menggunakan kunci akses rahsia.

    Kekunci akses rahsia lebih lama dan lebih rawak daripada kata laluan pengguna biasa; kunci akses rahsia yang panjang menjadikan enkripsi dilakukan dengan lebih selamat daripada jika ia dilakukan dengan kata laluan pengguna biasa.

  4. Hantar jumlah muatan yang disulitkan, bersama kunci akses anda, ke AWS melalui panggilan perkhidmatan.

    Amazon menggunakan kekunci akses untuk mencari kunci akses rahsia anda, yang digunakan untuk mendekripsi muatan. Jika muatan yang disahsulit mewakili teks yang boleh dibaca yang boleh dilaksanakan, AWS melaksanakan panggilan perkhidmatan. Jika tidak, ia menyimpulkan bahawa sesuatu adalah salah dengan panggilan perkhidmatan (mungkin ia dipanggil oleh pelakon jahat) dan tidak melaksanakan panggilan perkhidmatan.

Sebagai tambahan kepada penyulitan yang diterangkan, AWS mempunyai dua kaedah lain yang digunakan untuk memastikan kesahihan panggilan perkhidmatan:

  • Yang pertama adalah berdasarkan maklumat tarikh yang disertakan dengan muatan panggilan perkhidmatan, yang digunakan untuk menentukan sama ada masa yang berkaitan dengan membuat panggilan perkhidmatan adalah sesuai; jika tarikh dalam panggilan perkhidmatan jauh berbeza daripada apa yang sepatutnya (lebih awal atau lebih awal dari masa sekarang, dengan kata lain), AWS menyimpulkan bahawa ia bukan panggilan perkhidmatan yang sah dan membuangnya.

  • Langkah keselamatan tambahan kedua melibatkan checksum yang anda kira untuk muatan. (A checksum adalah nombor yang mewakili kandungan mesej.) AWS mengira cek untuk muatan; jika pemeriksaannya tidak bersetuju dengan anda, ia tidak membenarkan panggilan perkhidmatan dan tidak melaksanakannya.

    Pendekatan checksum ini memastikan bahawa tiada siapa yang merosakkan kandungan mesej dan menghalang seorang pelakon jahat dari memintas panggilan perkhidmatan yang sah dan mengubahnya untuk melakukan tindakan yang tidak dapat diterima. Sekiranya seseorang mengecewakan mesej tersebut, apabila AWS mengira cek, pengecas itu tidak lagi sepadan dengan yang termasuk dalam mesej, dan AWS enggan melaksanakan panggilan perkhidmatan.

Jika, seperti kebanyakan pengguna AWS, anda menggunakan kaedah proksi untuk berinteraksi dengan AWS - konsol pengurusan AWS, pustaka bahasa, atau alat pihak ketiga - anda perlu menyediakan kunci capaian dan kunci akses rahsia kepada proksi. Apabila proksi melaksanakan perkhidmatan AWS panggilan bagi pihak anda, ia termasuk kunci akses dalam panggilan dan menggunakan kunci akses rahsia untuk melakukan penyulitan muatan.

Oleh kerana peranan kritikal yang memenuhi kunci-kunci ini dalam AWS, anda harus berkongsi hanya dengan entiti yang anda percayai. Sekiranya anda ingin mencuba alat pihak ketiga yang baru dan anda tidak tahu banyak mengenai syarikat itu, buat akaun ujian AWS untuk perbicaraan dan bukannya menggunakan kelayakan akaun AWS pengeluaran anda.

Dengan cara itu, jika anda memutuskan untuk tidak meneruskan dengan alat ini, anda boleh menggugurkannya, menamatkan akaun AWS ujian, dan bergerak maju, tanpa peduli tentang kelemahan keselamatan yang potensial di dalam akaun pengeluaran utama anda. Sudah tentu, anda sentiasa boleh mencipta kunci akses baru dan kunci akses rahsia, tetapi menggunakan kunci pengeluaran anda untuk ujian dan kemudian mengubah kunci mencipta banyak kerja, kerana anda perlu mengemas kini setiap tempat yang merujuk kepada kunci yang ada.

Jika anda seperti banyak pengguna AWS lain, anda akan menggunakan beberapa alat dan perpustakaan, dan kembali kepada mereka untuk mengemas kini kunci anda adalah rasa sakit. Anda lebih baik menggunakan akaun bukan pengeluaran untuk menguji alat baru.

Amazon Web Services API Security - dummies

Pilihan Editor

Pilihan Editor

Melindungi Metrik Media Sosial anda dengan Alat Cadangan - dummies

Melindungi Metrik Media Sosial anda dengan Alat Cadangan - dummies

Media Sosial

Jika anda telah memulakan jejak sosial metrik media dan menikmati kurniaan data yang kini dapat dilihat, dihidupkan, dan digunakan, anda mungkin tertanya-tanya apa yang mungkin menyebabkan kemurungan! Mudah: kehilangan data. Katakanlah bahawa anda mempunyai masalah tapak atau entah bagaimana kehilangan akses ke tapak atau data anda. Adakah anda mempunyai sandaran anda ...

Laman web baru? Menarik Tumpuan Media Sosial Lalu Lintas dan Meningkat - dummies

Laman web baru? Menarik Tumpuan Media Sosial Lalu Lintas dan Meningkat - dummies

Media Sosial

Mana-mana kempen baru, laman web, akaun Twitter, halaman Facebook, atau item lain yang anda ingin ukur dengan metrik media sosial bermula pada sifar. Nombor ini boleh membuat anda merasa seperti anda bercakap dengan tidak sah, bercakap dengan diri anda atau anda tersembunyi dari pandangan. Perasaan ini boleh membawa kepada pengasingan secara keseluruhan ...

Meracuni Google Spider - dummies

Meracuni Google Spider - dummies

Media Sosial

Anda sentiasa dapat mencari orang yang ingin menyimpang dari lurus dan sempit. Ya, mereka adalah orang bodoh yang terlibat dalam taktik pengoptimuman berisiko yang bertujuan untuk menggerakkan PageRank secara artifisial, memanipulasi pesanan halaman hasil carian di Google, dan mendapatkan kelebihan yang tidak adil dalam indeks. Google, dengan reputasi yang luar biasa untuk melindungi, ...

Pilihan Editor

Mengukur Pengunjung Lama Menginap di Laman Web Anda - dummies

Mengukur Pengunjung Lama Menginap di Laman Web Anda - dummies

Media Sosial

Di laman web anda memberikan wawasan yang penting. Anda boleh memikirkan sama ada pengunjung sedang melihat cepat, kemudian pergi, atau sama ada mereka bertahan lebih lama dan sebenarnya membaca bahan dalam talian anda dengan tujuan untuk mengambil tindakan. Jika majoriti pelawat laman web anda tidak ...

Pemasaran web: Cara Menilai Layouts dengan Peta Haba - dummies

Pemasaran web: Cara Menilai Layouts dengan Peta Haba - dummies

Media Sosial

Laman web perniagaan sangat mirip dengan merancang kedai dengan pemasaran produk dalam fikiran. Malah, laman web anda benar-benar adalah kedai - kedai maya di Internet. Rangkaian kedai runcit telah menghabiskan berjuta-juta dolar dalam penyelidikan pasaran, menonton dan mendokumentasikan bagaimana pembeli memasuki kedai, belok kanan atau kiri, dan ...

Analitik web Untuk Menipu Cheat Sheet - dummies

Analitik web Untuk Menipu Cheat Sheet - dummies

Media Sosial

Melakukan analisis laman web tidak perlu meletihkan dan intensif masa. Anda boleh meringkaskan prestasi keseluruhan laman web anda dengan cepat - jika anda tahu apa yang perlu dicari. Alat analisis web percuma dan kos rendah boleh membantu anda mengukur kejayaan laman web anda, dan anda boleh menjana perujuk tapak dengan pelbagai cara yang tidak mungkin ...

Pilihan Editor

Cara Memaksimumkan Ruang pada Laman Web - dummies

Cara Memaksimumkan Ruang pada Laman Web - dummies

Media Sosial

Terlalu terhad, anda boleh membuat penggunaan kreatif beberapa teknologi di luar sana untuk memaksimumkan antara muka anda. Untuk setiap teknik berikut yang diterangkan, terdapat banyak laman web yang menawarkan sampel kod, forum, dan sumber untuk membantu anda memulakan. Accordions. Antara muka akordion membolehkan ...

Cara Mendapatkan Corak CSS3 Online - dummies

Cara Mendapatkan Corak CSS3 Online - dummies

Media Sosial

Mencipta kesan mudah untuk laman CSS3 menggunakan gradien mudah . Walau bagaimanapun, mewujudkan sesuatu yang benar-benar hebat memerlukan masa dan keupayaan artistik. Kebanyakan pemaju benar-benar tidak mempunyai masa atau kemahiran yang diperlukan untuk mencipta sesuatu yang mempesonakan menggunakan CSS3 sahaja (atau CSS3 digabungkan dengan grafik) - di sinilah pereka bermain. Ramai pereka yang membolehkan anda ...

Bagaimana Mengoptimumkan Aplikasi CSS3 dengan Modernizr - dummies

Bagaimana Mengoptimumkan Aplikasi CSS3 dengan Modernizr - dummies

Media Sosial

Terdapat banyak pelayar dan versi pelayar yang berbeza gunakan hari ini. Tidak semua daripada mereka adalah optimum untuk CSS3. Inilah tempat Modernizr dimainkan. Pemajunya menyebutnya "perpustakaan JavaScript yang mengesan ciri HTML5 dan CSS3 dalam pelayar pengguna. "Anda menggunakan Modernizr untuk melaksanakan tugas secara pilihan dan memasukkan ciri aplikasi berdasarkan ...

Pilihan Editor

Pilihan Editor

Kategori popular

© Copyright ms.blender3dtutorials.com, 2024 September | Mengenai laman web | Kenalan | Dasar Privasi..