驗證 Amazon 執行個體的執行個EC2體身分文件 - Amazon Elastic Compute Cloud
選項 1:使用PKCS7簽名驗證實例身份證明文件選項 2:使用 base64 編碼的簽名驗證執行個體身分文件選項 3:使用 RSA -2048 簽名驗證實例身份證明文件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

驗證 Amazon 執行個體的執行個EC2體身分文件

如果您打算將 執行個體身分文件 的內容用於重要目的,您應該在使用它之前驗證其內容與真實性。

純文字 執行個體身分文件 會伴隨著三個雜湊和加密的簽章。您可以使用這些簽章來驗證 執行個體身分文件 的來源和真實性及其包含的資訊。提供的簽章如下:

  • Base64 編碼簽名 — 這是使用 key pair 加密的執行個體身分識別文件的 base64 編碼SHA256雜湊。RSA

  • PKCS7簽章-這是使用 key pair 加SHA1密的執行個體身分識別文件的雜湊值。DSA

  • RSA-2048 簽名 — 這是使用 -2048 key pair 加密的執行個體身分識別文件的SHA256雜湊值。RSA

每個簽章都可以在執行個體中繼資料的不同端點上使用。您可以根據您的雜湊和加密需求使用任何一個簽章。若要驗證簽章,您必須使用對應的 AWS 公用憑證。

選項 1:使用PKCS7簽名驗證實例身份證明文件

本主題說明如何使用PKCS7簽名和 AWS DSA公用憑證來驗證執行個體身分識別文件。

使用PKCS7簽名和 AWS DSA公共證書驗證實例身份證明文件

  1. 連線到執行個體。

  2. 從執行個體中繼資料擷取PKCS7簽名,並將簽名新增至名為的新檔案,以pkcs7及必要的頁首和頁尾。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    $ echo "-----BEGIN PKCS7-----" >> pkcs7 \
	&& TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
	&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/pkcs7 >> pkcs7 \
	&& echo "" >> pkcs7 \
	&& echo "-----END PKCS7-----" >> pkcs7
    IMDSv1
    $ echo "-----BEGIN PKCS7-----" >> pkcs7 \
	&& curl -s http://169.254.169.254/latest/dynamic/instance-identity/pkcs7 >> pkcs7 \
	&& echo "" >> pkcs7 \
	&& echo "-----END PKCS7-----" >> pkcs7

  3. 在中找到您區域的DSA公共證書,AWS 執行個體身分識別文件簽名的公開並將內容添加到名為的新文件中certificate

  4. 使用「開啟 SSL smime」指令來驗證簽章。包含指出需要驗證簽章的 -verify 選項,以及指出憑證不需要驗證的 -noverify 選項。

    $ openssl smime -verify -in pkcs7 -inform PEM -certfile certificate -noverify | tee document

    如果簽章有效,則會出現 Verification successful 訊息。

    此命令也會將執行個體身分文件內容寫入名為 document 的新檔案。您可以使用下列命令,將來自執行個體中繼資料的執行個體身分文件內容與此檔案內容比較。

    $ openssl dgst -sha256 < document
    $ curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document | openssl dgst -sha256

    如果無法驗證簽章,請聯絡 AWS Support。
必要條件

此過程需要 System.Security Microsoft。 NET核心類。若要將類別新增至您的 PowerShell 工作階段,請執行下列命令。

PS C:\> Add-Type -AssemblyName System.Security
注意

該命令僅將類添加到當前 PowerShell 會話中。如果您啟動新的工作階段,您必須再次執行命令。

使用PKCS7簽名和 AWS DSA公共證書驗證實例身份證明文件

  1. 連線到執行個體。

  2. 從執行個體中繼資料擷取PKCS7簽章,將其轉換為位元組陣列,然後將其新增至名為的變數$Signature。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    PS C:\> [string]$token = (Invoke-WebRequest -Method Put -Headers @{'X-aws-ec2-metadata-token-ttl-seconds' = '21600'} http://169.254.169.254/latest/api/token).Content
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/pkcs7).Content)
    IMDSv1
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/pkcs7).Content)

  3. 從執行個體中繼資料擷取純文字執行個體身分文件,將其轉換為位元組陣列,然後新增至名為 $Document 的變數。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    PS C:\> $Document = [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/document).Content)
    IMDSv1
    PS C:\> $Document =  [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/document).Content)

  4. 在中找到您區域的DSA公共證書,AWS 執行個體身分識別文件簽名的公開並將內容添加到名為的新文件中certificate.pem

  5. 從憑證檔案擷取憑證,並將其存放在名為 $Store 的變數中。

    PS C:\> $Store = [Security.Cryptography.X509Certificates.X509Certificate2Collection]::new([Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Path certificate.pem)))

  6. 驗證簽章。

    PS C:\> $SignatureDocument = [Security.Cryptography.Pkcs.SignedCms]::new()
    PS C:\> $SignatureDocument.Decode($Signature)
    PS C:\> $SignatureDocument.CheckSignature($Store, $true)

    如果簽章有效,則命令不會傳回任何輸出。如果無法驗證簽章,則命令會傳回 Exception calling "CheckSignature" with "2" argument(s): "Cannot find the original signer。如果無法驗證您的簽章,請聯絡 AWS Support。

  7. 驗證執行個體身分文件的內容。

    PS C:\> [Linq.Enumerable]::SequenceEqual($SignatureDocument.ContentInfo.Content, $Document)

    如果執行個體身分文件的內容有效,則命令會傳回 True。如果無法驗證實例身份證明文件,請聯繫 AWS Support。

選項 2:使用 base64 編碼的簽名驗證執行個體身分文件

本主題說明如何使用 base64 編碼的簽章和 AWS RSA公用憑證來驗證執行個體身分識別文件。

使用 base64 編碼的簽名和公用憑證驗證執行個體身分識別文件 AWS RSA

  1. 連線到執行個體。

  2. 從執行個體中繼資料擷取 base64 編碼的簽章,將其轉換為二進位,然後新增至名為 signature 的檔案。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    $ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
	&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/signature | base64 -d >> signature
    IMDSv1
    $ curl -s http://169.254.169.254/latest/dynamic/instance-identity/signature | base64 -d >> signature

  3. 從執行個體中繼資料擷取純文字 執行個體身分文件,並新增至名為 document 的檔案。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    $ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
	&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document >> document
    IMDSv1
    $ curl -s http://169.254.169.254/latest/dynamic/instance-identity/document >> document

  4. 在中找到您區域的RSA公共證書,AWS 執行個體身分識別文件簽名的公開並將內容添加到名為的新文件中certificate

  5. 從公開憑證擷取 AWS RSA公開金鑰,並將其儲存到名為的檔案中key

    $ openssl x509 -pubkey -noout -in certificate >> key

  6. 使用 Open SSL dgst 命令來驗證實例身份證明文件。

    $ openssl dgst -sha256 -verify key -signature signature document

    如果簽章有效,則會出現 Verification successful 訊息。

    此命令也會將執行個體身分文件內容寫入名為 document 的新檔案。您可以使用下列命令,將來自執行個體中繼資料的執行個體身分文件內容與此檔案內容比較。

    $ openssl dgst -sha256 < document
    $ curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document | openssl dgst -sha256

    如果無法驗證簽章,請聯絡 AWS Support。

使用 base64 編碼的簽名和公用憑證驗證執行個體身分識別文件 AWS RSA

  1. 連線到執行個體。

  2. 從執行個體中繼資料擷取 base64 編碼的簽章,將其轉換為位元組陣列,然後新增至名為 $Signature 的變數。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    PS C:\> [string]$token = (Invoke-WebRequest -Method Put -Headers @{'X-aws-ec2-metadata-token-ttl-seconds' = '21600'} http://169.254.169.254/latest/api/token).Content
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/signature).Content)
    IMDSv1
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/signature).Content)

  3. 從執行個體中繼資料擷取純文字執行個體身分文件,將其轉換為位元組陣列,然後新增至名為 $Document 的變數。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    PS C:\> $Document = [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/document).Content)
    IMDSv1
    PS C:\> $Document =  [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/document).Content)

  4. 在中找到您區域的RSA公共證書,AWS 執行個體身分識別文件簽名的公開並將內容添加到名為的新文件中certificate.pem

  5. 驗證執行個體身分文件。

    PS C:\> [Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Path certificate.pem)).PublicKey.Key.VerifyData($Document, 'SHA256', $Signature)

    如果簽章有效,則命令會傳回 True。如果無法驗證簽章,請聯絡 AWS Support。

選項 3:使用 RSA -2048 簽名驗證實例身份證明文件

本主題說明如何使用 RSA -2048 簽名和 -2048 公用憑證來驗證執行個體身分識別文件。 AWS RSA

使用 RSA -2048 簽名和 -2048 公用憑證來驗證執行個體身份證明文件 AWS RSA

  1. 連線到執行個體。

  2. 從執行個體中繼資料擷取 RSA -2048 簽名,並將其新增至rsa2048沿著所需頁首和頁尾命名的檔案。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    $ echo "-----BEGIN PKCS7-----" >> rsa2048 \
	&& TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
	&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/rsa2048 >> rsa2048 \
	&& echo "" >> rsa2048 \
	&& echo "-----END PKCS7-----" >> rsa2048
    IMDSv1
    $ echo "-----BEGIN PKCS7-----" >> rsa2048 \
	&& curl -s http://169.254.169.254/latest/dynamic/instance-identity/rsa2048 >> rsa2048 \
	&& echo "" >> rsa2048 \
	&& echo "-----END PKCS7-----" >> rsa2048

  3. 在中尋找您地區的 RSA-2048 公用憑證,AWS 執行個體身分識別文件簽名的公開並將內容新增至名為的新檔案。certificate

  4. 使用「開啟 SSL smime」指令來驗證簽章。包含指出需要驗證簽章的 -verify 選項,以及指出憑證不需要驗證的 -noverify 選項。

    $ openssl smime -verify -in rsa2048 -inform PEM -certfile certificate -noverify | tee document

    如果簽章有效,則會出現 Verification successful 訊息。如果無法驗證簽章,請聯絡 AWS Support。
必要條件

此過程需要 System.Security Microsoft。 NET核心類。若要將類別新增至您的 PowerShell 工作階段,請執行下列命令。

PS C:\> Add-Type -AssemblyName System.Security
注意

該命令僅將類添加到當前 PowerShell 會話中。如果您啟動新的工作階段,您必須再次執行命令。

使用 RSA -2048 簽名和 -2048 公用憑證來驗證執行個體身份證明文件 AWS RSA

  1. 連線到執行個體。

  2. 從執行個體中繼資料擷取 RSA -2048 簽章,將其轉換為位元組陣列,並將其新增至名為的變數。$Signature根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    PS C:\> [string]$token = (Invoke-WebRequest -Method Put -Headers @{'X-aws-ec2-metadata-token-ttl-seconds' = '21600'} http://169.254.169.254/latest/api/token).Content
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/rsa2048).Content)
    IMDSv1
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/rsa2048).Content)

  3. 從執行個體中繼資料擷取純文字執行個體身分文件,將其轉換為位元組陣列,然後新增至名為 $Document 的變數。根據執行個體所使用的IMDS版本,使用下列其中一個指令。

    IMDSv2
    PS C:\> $Document = [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/document).Content)
    IMDSv1
    PS C:\> $Document =  [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/document).Content)

  4. 在中尋找您地區的 RSA-2048 公用憑證,AWS 執行個體身分識別文件簽名的公開並將內容新增至名為的新檔案。certificate.pem

  5. 從憑證檔案擷取憑證,並將其存放在名為 $Store 的變數中。

    PS C:\> $Store = [Security.Cryptography.X509Certificates.X509Certificate2Collection]::new([Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Path certificate.pem)))

  6. 驗證簽章。

    PS C:\> $SignatureDocument = [Security.Cryptography.Pkcs.SignedCms]::new()
    PS C:\> $SignatureDocument.Decode($Signature)
    PS C:\> $SignatureDocument.CheckSignature($Store, $true)

    如果簽章有效,則命令不會傳回任何輸出。如果無法驗證簽章,則命令會傳回 Exception calling "CheckSignature" with "2" argument(s): "Cannot find the original signer。如果無法驗證您的簽章,請聯絡 AWS Support。

  7. 驗證執行個體身分文件的內容。

    PS C:\> [Linq.Enumerable]::SequenceEqual($SignatureDocument.ContentInfo.Content, $Document)

    如果執行個體身分文件的內容有效,則命令會傳回 True。如果無法驗證實例身份證明文件,請聯繫 AWS Support。