Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

AWS Signature Version 4 per richieste API

Modalità Focus
AWS Signature Version 4 per richieste API - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Importante

Se utilizzi uno strumento AWS SDK (vedi Codice di esempio e librerie) o AWS Command Line Interface (AWS CLI) a cui inviare richieste API AWS, puoi saltare il processo di firma, poiché i client SDK e CLI autenticano le tue richieste utilizzando le chiavi di accesso fornite. A meno che tu non abbia una buona ragione per non farlo, ti consigliamo di utilizzare sempre un SDK o una CLI.

Nelle regioni che supportano più versioni di firma, la firma manuale delle richieste implica che è necessario specificare quale versione della firma utilizzare. Quando si forniscono richieste a punti di accesso multiregionali SDKs e la CLI passa automaticamente all'utilizzo della versione 4A di Signature senza configurazioni aggiuntive.

Le informazioni di autenticazione inviate in una richiesta devono includere una firma. AWS Signature Version 4 (SigV4) è il protocollo di AWS firma per aggiungere informazioni di autenticazione alle richieste AWS API.

Non utilizzare la chiave di accesso segreta per firmare le richieste API. Si utilizza invece il processo di firma SigV4. La firma delle richieste implica:

  1. Creazione di una richiesta canonica basata sui dettagli della richiesta.

  2. Calcolo di una firma utilizzando le tue credenziali. AWS

  3. L'aggiunta di questa firma alla richiesta come intestazione di autorizzazione.

AWS quindi replica questo processo e verifica la firma, concedendo o negando l'accesso di conseguenza.

Symmetric SigV4 richiede la derivazione di una chiave destinata a un singolo AWS servizio, in una singola regione, in un determinato giorno. AWS Ciò rende la chiave e la firma calcolata diverse per ogni regione, il che significa che è necessario conoscere la regione a cui è destinata la firma.

Il Signature Version 4 (SigV4A) asimmetrico è un'estensione che supporta la firma con un nuovo algoritmo e la generazione di firme individuali verificabili in più di una regione AWS . Con SigV4a, puoi firmare una richiesta per più regioni, con routing e failover senza interruzioni tra le regioni. Quando si utilizza l' AWS SDK o si richiama una funzionalità che richiede AWS CLI la firma in più regioni, il tipo di firma viene automaticamente modificato per utilizzare SigV4A. Per informazioni dettagliate, consultare Come funziona AWS SigV4a.

Come funziona SigV4 AWS

La procedura riportata di seguito illustra il processo generale di calcolo di una firma con SigV4:

  1. La stringa da firmare dipende dal tipo di richiesta. Ad esempio, quando utilizzi l'intestazione dell'autorizzazione HTTP o i parametri della query per l'autenticazione, utilizzi una combinazione di elementi della richiesta per creare la stringa da firmare. Per una richiesta HTTP POST, la policy POST nella richiesta è la stringa che firmi.

  2. La chiave di firma è una serie di calcoli, con il risultato di ogni passaggio inserito nel successivo. Il passaggio finale è la chiave di firma.

  3. Quando un AWS servizio riceve una richiesta autenticata, ricrea la firma utilizzando le informazioni di autenticazione contenute nella richiesta. Se le firme corrispondono, il servizio elabora la richiesta. In caso contrario, la richiesta viene respinta.

Per ulteriori informazioni, consulta Elementi della firma di una AWS API richiesta.

Come funziona AWS SigV4a

SigV4a utilizza firme asimmetriche basate sulla crittografia a chiave pubblica-privata. SigV4A segue un processo di derivazione delle credenziali con ambito simile a quello di SigV4, tranne per il fatto che SigV4A utilizza la stessa chiave per firmare tutte le richieste senza dover derivare una chiave di firma distinta in base alla data, al servizio e alla regione. Una coppia di chiavi Elliptic Curve Digital Signature Algorithm (ECDSA) può essere derivata dalla chiave di accesso segreta esistente. AWS

Il sistema utilizza la crittografia asimmetrica per verificare le firme multiregionali, quindi AWS deve solo archiviare le chiavi pubbliche. Le chiavi pubbliche non sono segrete e non possono essere utilizzate per firmare le richieste. Le firme asimmetriche sono necessarie per le richieste di API multi-regione, ad esempio con punti di accesso multi-regione di Amazon S3.

La procedura riportata di seguito illustra il processo generale di calcolo di una firma con SigV4a:

  1. La stringa da firmare dipende dal tipo di richiesta. Ad esempio, quando utilizzi l'intestazione dell'autorizzazione HTTP o i parametri della query per l'autenticazione, utilizzi una combinazione di elementi della richiesta per creare la stringa da firmare. Per una richiesta HTTP POST, la policy POST nella richiesta è la stringa che firmi.

  2. La chiave di firma deriva da una chiave di accesso segreta AWS tramite una serie di calcoli, con il risultato di ogni passaggio inserito nel successivo. Il passaggio finale produce la coppia di chiavi.

  3. Quando un AWS servizio riceve una richiesta firmata con SigV4a, AWS verifica la firma utilizzando solo la metà pubblica della coppia di chiavi. Se la firma è valida, la richiesta viene autenticata e il servizio elabora la richiesta. Le richieste con firme non valide vengono rifiutate.

Per ulteriori informazioni su SigV4A per le richieste API multiregionali, consultate il progetto sigv4 su. a-signing-examples GitHub

Quando firmare le richieste

Quando scrivi codice personalizzato che invia richieste API a AWS, devi includere il codice che firma le richieste. Potrebbe essere necessario scrivere codice personalizzato perché:

  • Utilizzi un linguaggio di programmazione per il quale non esiste un SDK AWS .

  • È necessario il controllo completo su come vengono inviate le richieste AWS.

Mentre le richieste API autenticano l'accesso con AWS SigV4 AWS SDKs e le AWS CLI autenticano utilizzando le chiavi di accesso fornite. Per ulteriori informazioni sull'autenticazione con and the, consulta. AWS SDKs AWS CLIAltre risorse

Perché le richieste vengono firmate

Il processo di firma aiuta a proteggere le richieste, poiché consente di:

  • Verificare l'identità del richiedente

    Le richieste autenticate richiedono una firma che hai creato utilizzando le tue chiavi di accesso (ID chiave di accesso, chiave di accesso segreta). Se stai utilizzando credenziali di sicurezza temporanee, i calcoli della firma richiedono anche un token di sicurezza. Per ulteriori informazioni, consulta AWS  accesso programmatico con credenziali di sicurezza.

  • Proteggere i dati in transito

    Per evitare che una richiesta venga modificata mentre è in transito, alcuni elementi della richiesta stessa vengono utilizzati per calcolare un hash (digest) e il valore hash risultante è incluso come parte della richiesta. Quando un utente Servizio AWS riceve la richiesta, utilizza le stesse informazioni per calcolare un hash e le confronta con il valore hash della richiesta. Se i valori non corrispondono, AWS nega la richiesta.

  • Garantire la protezione da possibili attacchi di tipo replay

    Nella maggior parte dei casi, una richiesta deve pervenire AWS entro cinque minuti dalla data indicata nella richiesta. In caso contrario, AWS nega la richiesta.

AWS SigV4 può essere espresso nell'intestazione di autorizzazione HTTP o come stringa di query nell'URL. Per ulteriori informazioni, consulta Metodi di autenticazione.

Altre risorse

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.