Acasă Finanțe personale Amazon Web Services API Securitate - dummies

Amazon Web Services API Securitate - dummies

Video: How do I implement IAM authentication for APIs in API Gateway? 2024

Video: How do I implement IAM authentication for APIs in API Gateway? 2024
Anonim

Iată o întrebare evidentă atunci când se ocupă de proxy-uri terță parte: Dacă aceste instrumente acționează în numele dvs., cum informează Amazon Web Services (AWS) că persoana în numele căreia acționează este de fapt tu? Cu alte cuvinte, cum poate AWS să vă autentifice identitatea pentru a vă asigura că comenzile primite sunt de la dvs.?

De fapt, aceeași întrebare este valabilă chiar dacă interacționați direct cu API-ul AWS. Cum poate AWS să vă valideze identitatea pentru a vă asigura că execută comenzi numai pentru dvs.?

O modalitate, desigur, este să includeți numele de utilizator și parola contului dvs. în apelurile API. Deși unii furnizori de nor folosesc această abordare, Amazon nu o face.

În loc să se bazeze pe un nume de utilizator și o parolă, acesta se bazează pe alte două identificatoare pentru a autentifica apelurile de servicii API: cheia de acces și cheia de acces secret. Utilizează aceste chei în apelurile de serviciu pentru a implementa securitatea într-un mod mult mai sigur decât utilizarea numai a numelui de utilizator și a parolei.

Cum funcționează? Când vă înscrieți pentru un cont cu AWS, aveți posibilitatea de a crea o cheie de acces și de a vă trimite o cheie de acces secret. Fiecare dintre ele este un șir lung de caractere aleatoare, iar cheia de acces secret este cea mai lungă dintre cele două. Când descărcați cheia de acces secret, ar trebui să o păstrați undeva foarte sigură, deoarece este cheia (îmi pare rău - rău) pentru implementarea apelurilor securizate de servicii.

După ce faceți acest lucru, atât dvs., cât și Amazon aveți o copie a cheii de acces și a cheii de acces secret. Păstrarea unei copii a cheii de acces secrete este crucială deoarece este utilizată pentru a cripta informațiile trimise înainte și înapoi între dvs. și AWS, iar dacă nu aveți cheia de acces secret, nu puteți executa apeluri de servicii pe AWS.

Modul în care sunt folosite cele două chei este simplu de conceput, deși oarecum provocator în detaliu.

În mod esențial, pentru fiecare apel de serviciu pe care doriți să-l efectuați, dvs. (sau un instrument care operează în numele dvs.) faceți următoarele:

  1. Creați sarcina utilă pentru apelurile de serviciu.

    Acestea sunt datele pe care trebuie să le trimiteți către AWS. Acesta poate fi un obiect pe care doriți să îl stocați în S3 sau identificatorul imaginii unei imagini pe care doriți să o lansați. (De asemenea, veți atașa alte informații la sarcina utilă, dar deoarece acestea variază în funcție de specificul apelului de serviciu, acestea nu sunt listate aici. O singură dată este ora curentă.)

  2. Criptați sarcina utila utilizând cheia de acces secret.

    A face astfel încât nimeni să nu poată examina volumul util și să descopere ce este în el.

  3. Semnează digital sarcina utilă criptată prin adăugarea cheii de acces secret la sarcina utilă criptată și efectuarea unui proces de semnătură digitală utilizând cheia de acces secret.

    Cheile de acces secret sunt mai lungi și mai aleatorii decât parolele tipice ale utilizatorilor; cheia de acces secretă de lungă durată face ca criptarea efectuată cu aceasta să fie mai sigură decât ar fi dacă ar fi efectuată cu o parolă tipică de utilizator.

  4. Trimiteți încărcarea totală criptată, împreună cu cheia de acces, la AWS printr-un apel de serviciu.

    Amazon utilizează cheia de acces pentru a căuta cheia de acces secret, pe care o utilizează pentru a decripta sarcina utilă. Dacă sarcina utilă decriptată reprezintă un text lizibil care poate fi executat, AWS execută apelul de serviciu. În caz contrar, acesta concluzionează că ceva nu este în regulă cu apelul de serviciu (poate că a fost apelat de un actor răuvoitor) și nu execută apelul de serviciu.

Pe lângă criptarea descrisă în continuare, AWS are alte două metode pe care le utilizează pentru a asigura legitimitatea apelului de serviciu:

  • Primul se bazează pe informațiile de dată incluse în sarcina utilă a serviciului de apel, pe care o utilizează pentru a determina dacă este adecvat timpul asociat efectuării apelului de serviciu; dacă data în apelul de serviciu este mult diferită de ceea ce ar trebui să fie (mult mai devreme sau mai târziu decât ora curentă, cu alte cuvinte), AWS concluzionează că nu este un apel legat de serviciu și îl elimină.

  • A doua măsură suplimentară de securitate implică o sumă de control pe care o calculați pentru sarcina utilă. (A suma de control este un număr care reprezintă conținutul unui mesaj.) AWS calculează o sumă de control pentru sarcina utilă; dacă suma de control nu este de acord cu ale dvs., nu acceptă apelul de serviciu și nu îl execută.

    Această abordare a sumelor de control asigură că nimeni nu strică conținutul unui mesaj și împiedică un actor răuvoitor să intercepteze un apel de serviciu legitim și să îl schimbe pentru a efectua o acțiune inacceptabilă. Dacă cineva strică cu mesajul, atunci când AWS calculează o sumă de control, suma de control nu se mai potrivește cu cea inclusă în mesaj, iar AWS refuză să efectueze apelul de serviciu.

Dacă, ca majoritatea utilizatorilor AWS, utilizați o metodă proxy pentru a interacționa cu AWS - consola de administrare AWS, o bibliotecă de limbi sau un instrument terț - trebuie să furnizați cheia de acces și cheia de acces secret la proxy. Când proxy-ul execută apeluri de serviciu AWS în numele dvs., acesta include tasta de acces în apel și utilizează cheia de acces secret pentru a efectua criptarea încărcării utile.

Din cauza rolului critic pe care aceste chei îl îndeplinesc în AWS, trebuie să le partajați numai cu entități în care aveți încredere. Dacă doriți să încercați un nou instrument de la o terță parte și nu știți prea multe despre companie, configurați un cont de testare AWS pentru încercare, în loc să utilizați datele de conectare ale contului AWS de producție.

În acest fel, dacă decideți să nu continuați cu instrumentul, puteți să îl abandonați, să terminați contul AWS de testare și să vă deplasați înainte, fără a vă convinge de potențialele vulnerabilități de securitate din principalele conturi de producție. Desigur, puteți crea întotdeauna chei de acces noi și chei de acces secret, dar folosind cheile de producție pentru teste și apoi schimbarea cheilor creează o mulțime de lucruri, deoarece trebuie să actualizați fiecare loc care face referire la cheile existente.

Dacă sunteți ca mulți alți utilizatori AWS, veți folosi o serie de instrumente și biblioteci, și revenirea la ele pentru a vă actualiza cheile este o durere. Este mai bine să utilizați conturi de nonproducție pentru a testa noi instrumente.

Amazon Web Services API Securitate - dummies

Alegerea editorilor

Alegerea editorilor

Social Media Design: Twitter Opțiuni imagine - dummy

Social Media Design: Twitter Opțiuni imagine - dummy

Social media

Jonglați constrângerile legate de spațiu și modul cel mai bun de a poziționa cele trei imagini separate pe care vi se permite să le utilizați în profilul dvs. Twitter.

Social Media Design: Inspirând exemplele de afaceri pe Facebook - manechine

Social Media Design: Inspirând exemplele de afaceri pe Facebook - manechine

Social media

ÎNainte de scufundări în elementele de bază ale proiectării o pagină solidă Facebook, aruncați o privire asupra unor branduri care profită din plin de Facebook cu pagini proprii. Persoanele fizice și organizațiile de la bloggeri la proprietarii de magazine Etsy de la domiciliu la branduri internaționale folosesc Facebook pentru a se conecta cu clienții și fanii existenți, precum și cu potențialul lor ...

Social Media Optimization: Publicarea Tweets automat la profilul dvs. Facebook - dummies

Social Media Optimization: Publicarea Tweets automat la profilul dvs. Facebook - dummies

Social media

Lucrurile noi pe care să le postați pe Facebook pot fi o adevărată corvoadă. Din fericire, există un truc pe care îl puteți optimiza pe acest site media social. Dacă puteți atinge postarea încrucișată a conținutului între servicii, vă puteți salva ceva timp. Twitter vă oferă posibilitatea de a vă conecta profilul cu alte servicii. Există, ...

Alegerea editorilor

Cum se verifică performanța sistemului cu AWS - dummies

Cum se verifică performanța sistemului cu AWS - dummies

Finanțe personale

AWS (Amazon Web Services) metode pentru monitorizarea serviciilor specifice AWS. Cu toate acestea, este posibil să aveți probleme de performanță a sistemului sau probleme de aplicare non-AWS care trebuie abordate, ceea ce înseamnă că aveți instrumente care pot funcționa în afara AWS. Pachetul de grupuri de instrumente de performanță conține un număr de instrumente specifice pentru realizarea acestei sarcini ...

Cum să alegeți serviciile AWS de care aveți nevoie - dummies

Cum să alegeți serviciile AWS de care aveți nevoie - dummies

Finanțe personale

Amintiți-vă că aveți doar 12 luni de libertate proces în care să se ia decizii privind serviciile AWS (Servicii Amazon Web) pe care să le utilizați în afacerea dvs. Douăsprezece luni pot părea mult timp, dar veți descoperi că se evaporă înaintea ochilor dvs. în timp ce încercați să vă jonglați responsabilitățile zilnice, întâlnirile ...

Probleme de securitate aWS - dummy

Probleme de securitate aWS - dummy

Finanțe personale

Pentru a utiliza AWS (Amazon Web Services) cale. Administratorii și profesioniștii în domeniul securității se pot răzbuna rapid, încercând să păstreze aceste computere interconectate în siguranță, dar aceasta face parte din descrierea postului. Trebuie să urmați cele mai bune practici în securizarea sistemelor informatice, a datelor pe care le conțin, ...

Alegerea editorilor

Cum se asamblează o Circuit de organe color - dummies

Cum se asamblează o Circuit de organe color - dummies

Finanțe personale

După ce ați strâns toate materialele de care aveți nevoie construiți un organ de culoare, sunteți gata să asamblați proiectul. Vedeți ce aveți nevoie pentru a construi un circuit de organe color. Veți avea nevoie de următoarele instrumente: Sârma de lipit, de preferință cu setări de 20 și 40 W Solder Utilizați lipire mai groasă pentru firele de tensiune și subțire ...

Construirea unui Circuit Dead-Bug Style - dummies

Construirea unui Circuit Dead-Bug Style - dummies

Finanțe personale

) Sunt montate cu capul în jos pe placa de circuit imprimat (PC), majoritatea picioarelor lipindu-se în aer! Arata ca multe. . . morți bug-uri! Un alt nume pentru acest tip de construcție este "circuitele de aer", deoarece componentele sunt atașate direct la ...

Aplicarea RFID în lumea reală - dummies

Aplicarea RFID în lumea reală - dummies

Finanțe personale

Capacitatea de a urmări și de a urmări, de a urmări și de a găsi, peek sunt toate îmbunătățite prin utilizarea RFID. Unii avocați de confidențialitate vă faceți griji că aparatele vor atașa în mod magic etichetele RFID la îmbrăcăminte sau pantofi pe măsură ce vă plimbați prin magazin sau în jurul unui birou, dar acest lucru este foarte puțin probabil. Limitele ...

Alegerea editorilor

Alegerea editorilor

Categorii populare

© Copyright ro.blender3dtutorials.com, 2024 Octombrie | Despre site | Contacte | Politica de Confidențialitate.