AWS Signature Version 4 untuk API permintaan - AWS Identity and Access Management
Bagaimana AWS SiGv4 bekerjaCara kerja AWS Sigv4aKapan menandatangani permintaanMengapa permintaan ditandatanganiSumber daya tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Signature Version 4 untuk API permintaan

penting

Jika Anda menggunakan alat AWS SDK (lihat Contoh Kode dan Pustaka) atau AWS Command Line Interface (AWS CLI) untuk mengirim API permintaan AWS, Anda dapat melewati proses tanda tangan, karena CLI klien SDK dan mengautentikasi permintaan Anda dengan menggunakan kunci akses yang Anda berikan. Kecuali Anda memiliki alasan yang baik untuk tidak melakukannya, kami sarankan Anda selalu menggunakan SDK atauCLI.

Di Wilayah yang mendukung beberapa versi tanda tangan, menandatangani permintaan secara manual berarti Anda harus menentukan versi tanda tangan yang akan digunakan. Saat Anda menyediakan permintaan ke Titik Akses Multi-Wilayah, SDKs dan CLI secara otomatis beralih menggunakan Signature Version 4A tanpa konfigurasi tambahan.

Informasi otentikasi yang Anda kirim dalam permintaan harus menyertakan tanda tangan. AWS Sigv4 (SigV4) adalah protokol AWS penandatanganan untuk menambahkan informasi otentikasi ke permintaan. AWS API

Anda tidak menggunakan kunci akses rahasia Anda untuk menandatangani API permintaan. Sebagai gantinya, Anda menggunakan proses penandatanganan SiGv4. Permintaan penandatanganan melibatkan:

  1. Membuat permintaan kanonik berdasarkan detail permintaan.

  2. Menghitung tanda tangan menggunakan AWS kredensi Anda.

  3. Menambahkan tanda tangan ini ke permintaan sebagai header Otorisasi.

AWS kemudian mereplikasi proses ini dan memverifikasi tanda tangan, memberikan atau menolak akses yang sesuai.

SigV4 simetris mengharuskan Anda untuk mendapatkan kunci yang dicakup ke satu AWS layanan, di satu AWS wilayah, pada hari tertentu. Ini membuat kunci dan tanda tangan yang dihitung berbeda untuk setiap wilayah, artinya Anda harus mengetahui wilayah yang ditakdirkan untuk tanda tangan tersebut.

Asymmetric Signature Version 4 (Sigv4a) adalah ekstensi yang mendukung penandatanganan dengan algoritma baru, dan menghasilkan tanda tangan individual yang dapat diverifikasi di lebih dari satu wilayah. AWS Dengan Sigv4a, Anda dapat menandatangani permintaan untuk beberapa wilayah, dengan perutean dan failover yang mulus antar wilayah. Saat Anda menggunakan AWS SDK atau AWS CLI untuk memanggil fungsionalitas yang memerlukan penandatanganan multi-wilayah, jenis tanda tangan secara otomatis diubah untuk menggunakan Sigv4a. Untuk detailnya, lihat Cara kerja AWS Sigv4a.

Bagaimana AWS SiGv4 bekerja

Langkah-langkah berikut menjelaskan proses umum komputasi tanda tangan dengan SiGv4:

  1. String yang akan ditandatangani tergantung pada jenis permintaan. Misalnya, saat Anda menggunakan header HTTP Otorisasi atau parameter kueri untuk otentikasi, Anda menggunakan kombinasi elemen permintaan untuk membuat string yang akan ditandatangani. Untuk HTTP POST permintaan, POST kebijakan dalam permintaan adalah string yang Anda tandatangani.

  2. Kunci penandatanganan adalah serangkaian perhitungan, dengan hasil dari setiap langkah dimasukkan ke langkah berikutnya. Langkah terakhir adalah kunci penandatanganan.

  3. Ketika sebuah AWS layanan menerima permintaan yang diautentikasi, ia membuat ulang tanda tangan menggunakan informasi otentikasi yang terkandung dalam permintaan. Jika tanda tangan cocok, layanan memproses permintaan. Kalau tidak, itu menolak permintaan.

Untuk informasi selengkapnya, lihat Elemen tanda tangan AWS API permintaan.

Cara kerja AWS Sigv4a

Sigv4a menggunakan tanda tangan asimetris berdasarkan kriptografi kunci publik-pribadi. SIGv4amelalui proses derivasi kredensial cakupan serupa sepertiSIGv4, kecuali Sigv4a menggunakan kunci yang sama untuk menandatangani semua permintaan tanpa perlu mendapatkan kunci penandatanganan yang berbeda berdasarkan tanggal, layanan, dan wilayah. Sebuah Elliptic Curve Digital Signature Algorithm (ECDSA) keypair dapat diturunkan dari kunci akses rahasia yang ada AWS .

Sistem ini menggunakan kriptografi asimetris untuk memverifikasi tanda tangan multi-wilayah, sehingga AWS hanya perlu menyimpan kunci publik Anda. Kunci publik bukan rahasia dan tidak dapat digunakan untuk menandatangani permintaan. Tanda tangan asimetris diperlukan untuk API permintaan multi-wilayah, seperti dengan Titik Akses Multi-Wilayah Amazon S3.

Langkah-langkah berikut menjelaskan proses umum komputasi tanda tangan dengan Sigv4a:

  1. String yang akan ditandatangani tergantung pada jenis permintaan. Misalnya, saat Anda menggunakan header HTTP Otorisasi atau parameter kueri untuk otentikasi, Anda menggunakan kombinasi elemen permintaan untuk membuat string yang akan ditandatangani. Untuk HTTP POST permintaan, POST kebijakan dalam permintaan adalah string yang Anda tandatangani.

  2. Kunci penandatanganan berasal dari kunci akses AWS rahasia melalui serangkaian perhitungan, dengan hasil dari setiap langkah dimasukkan ke langkah berikutnya. Langkah terakhir menghasilkan keypair.

  3. Ketika AWS layanan menerima permintaan yang ditandatangani dengan Sigv4a, AWS verifikasi tanda tangan hanya menggunakan separuh publik dari keypair. Jika tanda tangan valid, permintaan diautentikasi dan layanan memproses permintaan. Permintaan dengan tanda tangan yang tidak valid ditolak.

Untuk informasi selengkapnya tentang Sigv4a untuk API permintaan Multi-wilayah, lihat proyek sigv4 di. a-signing-examples GitHub

Kapan menandatangani permintaan

Saat Anda menulis kode khusus yang mengirimkan API permintaan AWS, Anda harus menyertakan kode yang menandatangani permintaan. Anda dapat menulis kode khusus karena:

  • Anda bekerja dengan bahasa pemrograman yang tidak ada AWS SDK.

  • Anda memerlukan kontrol penuh atas bagaimana permintaan dikirim AWS.

Sementara API permintaan mengautentikasi akses dengan AWS SigV4, AWS SDKs dan AWS CLI mengautentikasi permintaan Anda dengan menggunakan kunci akses yang Anda berikan. Untuk informasi selengkapnya tentang autentikasi dengan AWS SDKs dan AWS CLI, lihatSumber daya tambahan.

Mengapa permintaan ditandatangani

Proses penandatanganan membantu mengamankan permintaan dengan cara berikut:

  • Verifikasi identitas pemohon

    Permintaan yang diautentikasi memerlukan tanda tangan yang Anda buat dengan menggunakan kunci akses Anda (ID kunci akses, kunci akses rahasia). Jika Anda menggunakan kredenal keamanan sementara, perhitungan tanda tangan juga memerlukan token keamanan. Untuk informasi selengkapnya, lihat akses terprogram kredensial AWS keamanan.

  • Lindungi data dalam perjalanan

    Untuk mencegah gangguan pada permintaan saat sedang transit, beberapa elemen permintaan digunakan untuk menghitung hash (intisari) permintaan, dan nilai hash yang dihasilkan disertakan sebagai bagian dari permintaan. Ketika Layanan AWS menerima permintaan, ia menggunakan informasi yang sama untuk menghitung hash dan mencocokkannya dengan nilai hash dalam permintaan Anda. Jika nilainya tidak cocok, AWS tolak permintaan tersebut.

  • Lindungi dari potensi serangan replay

    Dalam kebanyakan kasus, permintaan harus mencapai AWS dalam waktu lima menit dari cap waktu dalam permintaan. Kalau tidak, AWS menolak permintaan itu.

AWS SigV4 dapat diekspresikan dalam header HTTP Otorisasi atau sebagai string kueri di. URL Untuk informasi selengkapnya, lihat Metode otentikasi.

Sumber daya tambahan