Firma crittografica delle licenze in License Manager

License Manager può firmare crittograficamente le licenze rilasciate da un ISV o tramite per Marketplace AWS conto di un ISV. La firma consente ai fornitori di convalidare l'integrità e l'origine di una licenza all'interno dell'applicazione stessa, anche in un ambiente offline.

Per firmare le licenze, License Manager utilizza un codice asimmetrico AWS KMS key appartenente a un ISV e protetto in (). AWS Key Management Service AWS KMS Questa CMK gestita dal cliente è costituita da una chiave pubblica e una coppia di chiavi private correlate matematicamente. Quando un utente richiede una licenza, License Manager genera un oggetto JSON che elenca i diritti di licenza e firma questo oggetto con la chiave privata. La firma e l'oggetto JSON in chiaro vengono restituiti all'utente. Qualsiasi persona a cui vengano presentati questi oggetti può utilizzare la chiave pubblica per verificare che il testo della licenza non sia stato alterato e che la licenza sia stata firmata dal proprietario della chiave privata. La parte privata della key pair non se ne va mai AWS KMS. Per ulteriori informazioni sulla crittografia asimmetrica in AWS KMS, vedere Utilizzo di chiavi simmetriche e asimmetriche.

Nota

License Manager richiama le operazioni AWS KMS Signe VerifyAPI durante la firma e la verifica delle licenze. La CMK deve avere un valore di utilizzo chiave di SIGN_VERIFY per poter essere utilizzata da queste operazioni. Questa varietà di CMK non può essere utilizzata per la crittografia e la decrittografia.

Il seguente flusso di lavoro descrive l'emissione di licenze con firma crittografica:

Nella AWS KMS console, nell'API o nell'SDK, l'amministratore delle licenze crea una CMK asimmetrica gestita dal cliente. La CMK deve disporre di un utilizzo della chiave per firma e verifica e deve supportare l'algoritmo di firma RSASSA-PSS SHA-256. Per ulteriori informazioni, consulta Creazione asimmetrica CMKs e Come scegliere la configurazione CMK.
In License Manager, l'amministratore della licenza crea una configurazione di consumo che include un AWS KMS ARN o un ID. La configurazione può specificare una o entrambe le opzioni Borrow e Provisional. Per maggiori informazioni, consulta Creazione di un blocco di licenze rilasciate dal venditore.

Un utente finale ottiene la licenza utilizzando l'operazione o API. CheckoutLicenseCheckoutBorrowLicense L'CheckoutBorrowLicenseoperazione è consentita solo su licenze con Borrow configurato. Restituisce una firma digitale come parte della risposta insieme ai diritti di elenco degli oggetti JSON. Il codice JSON in chiaro è simile al seguente:


{
   "entitlementsAllowed":[
      {
         "name":"EntitlementCount",
         "unit":"Count",
         "value":"1"
      }
   ],
   "expiration":"2020-12-01T00:47:35",
   "issuedAt":"2020-11-30T23:47:35",
   "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE",
   "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE",
   "nodeId":"100.20.15.10",
   "checkoutMetadata":{
      "Mac":"ABCDEFGHI"
   }
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS politiche gestite

Convalida della conformità