Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Importante
Se utilizzi uno strumento AWS SDK (vedi Codice di esempio e librerie
Nelle regioni che supportano più versioni di firma, la firma manuale delle richieste implica che è necessario specificare quale versione della firma utilizzare. Quando si forniscono richieste a punti di accesso multiregionali SDKs e la CLI passa automaticamente all'utilizzo della versione 4A di Signature senza configurazioni aggiuntive.
Le informazioni di autenticazione inviate in una richiesta devono includere una firma. AWS Signature Version 4 (SigV4) è il protocollo di AWS firma per aggiungere informazioni di autenticazione alle richieste AWS API.
Non utilizzare la chiave di accesso segreta per firmare le richieste API. Si utilizza invece il processo di firma SigV4. La firma delle richieste implica:
-
Creazione di una richiesta canonica basata sui dettagli della richiesta.
-
Calcolo di una firma utilizzando le tue credenziali. AWS
-
L'aggiunta di questa firma alla richiesta come intestazione di autorizzazione.
AWS quindi replica questo processo e verifica la firma, concedendo o negando l'accesso di conseguenza.
Symmetric SigV4 richiede la derivazione di una chiave destinata a un singolo AWS servizio, in una singola regione, in un determinato giorno. AWS Ciò rende la chiave e la firma calcolata diverse per ogni regione, il che significa che è necessario conoscere la regione a cui è destinata la firma.
Il Signature Version 4 (SigV4A) asimmetrico è un'estensione che supporta la firma con un nuovo algoritmo e la generazione di firme individuali verificabili in più di una regione AWS . Con SigV4a, puoi firmare una richiesta per più regioni, con routing e failover senza interruzioni tra le regioni. Quando si utilizza l' AWS SDK o si richiama una funzionalità che richiede AWS CLI la firma in più regioni, il tipo di firma viene automaticamente modificato per utilizzare SigV4A. Per informazioni dettagliate, consultare Come funziona AWS SigV4a.
Come funziona SigV4 AWS
La procedura riportata di seguito illustra il processo generale di calcolo di una firma con SigV4:
-
La stringa da firmare dipende dal tipo di richiesta. Ad esempio, quando utilizzi l'intestazione dell'autorizzazione HTTP o i parametri della query per l'autenticazione, utilizzi una combinazione di elementi della richiesta per creare la stringa da firmare. Per una richiesta HTTP POST, la policy
POST
nella richiesta è la stringa che firmi. -
La chiave di firma è una serie di calcoli, con il risultato di ogni passaggio inserito nel successivo. Il passaggio finale è la chiave di firma.
-
Quando un AWS servizio riceve una richiesta autenticata, ricrea la firma utilizzando le informazioni di autenticazione contenute nella richiesta. Se le firme corrispondono, il servizio elabora la richiesta. In caso contrario, la richiesta viene respinta.
Per ulteriori informazioni, consulta Elementi della firma di una AWS API richiesta.
Come funziona AWS SigV4a
SigV4a utilizza firme asimmetriche basate sulla crittografia a chiave pubblica-privata. SigV4A segue un processo di derivazione delle credenziali con ambito simile a quello di SigV4, tranne per il fatto che SigV4A utilizza la stessa chiave per firmare tutte le richieste senza dover derivare una chiave di firma distinta in base alla data, al servizio e alla regione. Una coppia di chiavi Elliptic Curve Digital Signature
Il sistema utilizza la crittografia asimmetrica per verificare le firme multiregionali, quindi AWS deve solo archiviare le chiavi pubbliche. Le chiavi pubbliche non sono segrete e non possono essere utilizzate per firmare le richieste. Le firme asimmetriche sono necessarie per le richieste di API multi-regione, ad esempio con punti di accesso multi-regione di Amazon S3.
La procedura riportata di seguito illustra il processo generale di calcolo di una firma con SigV4a:
-
La stringa da firmare dipende dal tipo di richiesta. Ad esempio, quando utilizzi l'intestazione dell'autorizzazione HTTP o i parametri della query per l'autenticazione, utilizzi una combinazione di elementi della richiesta per creare la stringa da firmare. Per una richiesta HTTP POST, la policy
POST
nella richiesta è la stringa che firmi. -
La chiave di firma deriva da una chiave di accesso segreta AWS tramite una serie di calcoli, con il risultato di ogni passaggio inserito nel successivo. Il passaggio finale produce la coppia di chiavi.
-
Quando un AWS servizio riceve una richiesta firmata con SigV4a, AWS verifica la firma utilizzando solo la metà pubblica della coppia di chiavi. Se la firma è valida, la richiesta viene autenticata e il servizio elabora la richiesta. Le richieste con firme non valide vengono rifiutate.
Quando firmare le richieste
Quando scrivi codice personalizzato che invia richieste API a AWS, devi includere il codice che firma le richieste. Potrebbe essere necessario scrivere codice personalizzato perché:
-
Utilizzi un linguaggio di programmazione per il quale non esiste un SDK AWS .
-
È necessario il controllo completo su come vengono inviate le richieste AWS.
Mentre le richieste API autenticano l'accesso con AWS SigV4 AWS SDKs e le AWS CLI autenticano utilizzando le chiavi di accesso fornite. Per ulteriori informazioni sull'autenticazione con and the, consulta. AWS SDKs AWS CLIAltre risorse
Perché le richieste vengono firmate
Il processo di firma aiuta a proteggere le richieste, poiché consente di:
-
Verificare l'identità del richiedente
Le richieste autenticate richiedono una firma che hai creato utilizzando le tue chiavi di accesso (ID chiave di accesso, chiave di accesso segreta). Se stai utilizzando credenziali di sicurezza temporanee, i calcoli della firma richiedono anche un token di sicurezza. Per ulteriori informazioni, consulta AWS accesso programmatico con credenziali di sicurezza.
-
Proteggere i dati in transito
Per evitare che una richiesta venga modificata mentre è in transito, alcuni elementi della richiesta stessa vengono utilizzati per calcolare un hash (digest) e il valore hash risultante è incluso come parte della richiesta. Quando un utente Servizio AWS riceve la richiesta, utilizza le stesse informazioni per calcolare un hash e le confronta con il valore hash della richiesta. Se i valori non corrispondono, AWS nega la richiesta.
-
Garantire la protezione da possibili attacchi di tipo replay
Nella maggior parte dei casi, una richiesta deve pervenire AWS entro cinque minuti dalla data indicata nella richiesta. In caso contrario, AWS nega la richiesta.
AWS SigV4 può essere espresso nell'intestazione di autorizzazione HTTP o come stringa di query nell'URL. Per ulteriori informazioni, consulta Metodi di autenticazione.
Altre risorse
-
Per ulteriori informazioni sul processo di firma SigV4 per i diversi servizi, consulta Richiesta di esempi di firma.
-
Per configurare le credenziali per l'accesso programmatico per la AWS CLI, consulta Autenticazione e credenziali di accesso nella Guida per l'utente dell'interfaccia a riga di AWS comando.
-
AWS SDKs Includi il codice sorgente GitHub per la firma delle richieste API. AWS Per gli esempi di codice, consulta Progetti di esempio nel repository di campioni AWS.
-
AWS SDK for .NET — AWS4Signer.cs
-
AWS SDK for C++ — AWSAuthV4Signer.cpp
-
AWS SDK per Go — sigv4.go
-
AWS SDK for Java BaseAws— 4Signer.java
-
AWS SDK for JavaScript — firma-v4
-
AWS SDK for PHP — SignatureV4.php
-
AWS SDK for Python (Boto) — signers.py
-
AWS SDK for Ruby — signer.rb
-