Casa Finanza personale Sicurezza dell'API dei servizi Web di Amazon - manichini

Sicurezza dell'API dei servizi Web di Amazon - manichini

Video: Importare Prodotti dalla Cina in Sicurezza Secondo gli Standard Europei 2025

Video: Importare Prodotti dalla Cina in Sicurezza Secondo gli Standard Europei 2025
Anonim

Ecco una domanda ovvia quando si tratta di proxy di terze parti: se questi strumenti agiscono per vostro conto, in che modo Amazon Web Services (AWS) sa che la persona per conto della quale agiscono è infatti tu? In altre parole, in che modo AWS può autenticare la tua identità per garantire che i comandi che riceve provengano da te?

In effetti, la stessa domanda è valida anche se interagisci direttamente con l'API di AWS. In che modo AWS può convalidare la tua identità per garantire che esegua solo i comandi per te?

Un modo, ovviamente, è includere il nome utente e la password del tuo account nelle chiamate API. Sebbene alcuni cloud provider adottino questo approccio, Amazon no.

Piuttosto che basarsi su un nome utente e una password, si basa su altri due identificatori per autenticare le sue chiamate al servizio API: la chiave di accesso e la chiave di accesso segreta. Utilizza queste chiavi nelle chiamate di servizio per implementare la sicurezza in un modo molto più sicuro rispetto all'utilizzo del solo nome utente e password.

Quindi come funziona? Quando registri un account con AWS, hai la possibilità di creare una chiave di accesso e di ricevere una chiave di accesso segreta. Ognuno è una lunga serie di caratteri casuali e la chiave di accesso segreta è la più lunga dei due. Quando si scarica la chiave di accesso segreta, è necessario archiviarla in un luogo molto sicuro perché è la chiave (scusa - pessima puntata) a implementare chiamate di servizio sicure.

Dopo averlo fatto, sia tu che Amazon avete una copia della chiave d'accesso e della chiave d'accesso segreta. Conservare una copia della chiave di accesso segreta è cruciale perché è usato per crittografare le informazioni inviate avanti e indietro tra te e AWS e, se non hai la chiave di accesso segreta, non puoi eseguire chiamate di servizio su AWS.

Il modo in cui i due tasti vengono usati è concettualmente semplice, sebbene alquanto complicato nei dettagli.

In sostanza, per ogni chiamata di servizio che si desidera eseguire, l'utente (o uno strumento che opera a suo nome) procede come segue:

  1. Crea il payload della chiamata di servizio.

    Questi sono i dati che devi inviare ad AWS. Può essere un oggetto che si desidera memorizzare in S3 o l'identificatore di immagine di un'immagine che si desidera avviare. (Collegate anche altre informazioni sul carico utile, ma poiché variano in base alle specifiche della chiamata di servizio, non sono elencate qui. Un dato è l'ora corrente.)

  2. Cripta il carico utile utilizzando la chiave di accesso segreta.

    In questo modo si garantisce che nessuno possa esaminare il carico utile e scoprire cosa c'è dentro.

  3. Firmare digitalmente il carico utile crittografato aggiungendo la chiave di accesso segreto al carico utile crittografato e eseguendo una procedura di firma digitale utilizzando la chiave di accesso segreta.

    Le chiavi di accesso segreto sono più lunghe e più casuali delle tipiche password utente; la lunga chiave di accesso segreta rende la crittografia eseguita con essa più sicura di quanto sarebbe se fosse eseguita con una tipica password utente.

  4. Invia il carico utile crittografato totale, insieme alla chiave di accesso, ad AWS tramite una chiamata di servizio.

    Amazon utilizza la chiave di accesso per cercare la chiave di accesso segreta, che utilizza per decrittografare il carico utile. Se il carico utile decrittografato rappresenta un testo leggibile che può essere eseguito, AWS esegue la chiamata di servizio. Altrimenti, conclude che qualcosa non va nella chiamata al servizio (forse è stata chiamata da un attore malevolo) e non esegue la chiamata di servizio.

Oltre alla crittografia appena descritta, AWS utilizza altri due metodi per garantire la legittimità della chiamata di servizio:

  • Il primo è basato sulle informazioni sulla data incluse nel payload della chiamata di servizio, che viene utilizzato per determinare se il tempo associato alla creazione della chiamata di servizio è appropriato; se la data nella chiamata di servizio è molto diversa da quella che dovrebbe essere (molto prima o dopo l'ora corrente, in altre parole), AWS conclude che non è una chiamata di servizio legittima e la scarta.

  • La seconda misura di sicurezza aggiuntiva prevede un checksum da calcolare per il carico utile. (Un checksum è un numero che rappresenta il contenuto di un messaggio.) AWS calcola un checksum per il carico utile; se il suo checksum non è d'accordo con il tuo, non consente la chiamata di servizio e non lo esegue.

    Questo approccio al checksum garantisce che nessuno manometta il contenuto di un messaggio e impedisca a un attore malevolo di intercettare una chiamata di servizio legittima e modificarla per eseguire un'azione inaccettabile. Se qualcuno altera il messaggio, quando AWS calcola un checksum, quel checksum non corrisponde più a quello incluso nel messaggio e AWS rifiuta di eseguire la chiamata di servizio.

Se, come la maggior parte degli utenti AWS, utilizzi un metodo proxy per interagire con AWS - la console di gestione AWS, una libreria linguistica o uno strumento di terze parti - devi fornire la chiave di accesso e la chiave di accesso segreta al proxy. Quando il proxy esegue chiamate di servizio AWS per conto dell'utente, include la chiave di accesso nella chiamata e utilizza la chiave di accesso segreto per eseguire la crittografia del payload.

A causa del ruolo fondamentale che queste chiavi soddisfano in AWS, devi condividerle solo con le entità di cui ti fidi. Se vuoi provare un nuovo strumento di terze parti e non sai molto dell'azienda, imposta un account di prova AWS per la prova anziché utilizzare le credenziali dell'account AWS di produzione.

In questo modo, se decidi di non proseguire con lo strumento, puoi rilasciarlo, terminare l'account AWS di prova e andare avanti, senza preoccuparsi delle potenziali vulnerabilità di sicurezza nei tuoi account di produzione principali. Naturalmente, è sempre possibile creare nuove chiavi di accesso e chiavi di accesso segrete, ma utilizzando le chiavi di produzione per i test e quindi la modifica delle chiavi crea molto lavoro, poiché è necessario aggiornare ogni posizione che fa riferimento alle chiavi esistenti.

Se sei come molti altri utenti AWS, utilizzerai una serie di strumenti e librerie e tornare a loro per aggiornare le tue chiavi è un problema. Stai meglio usando gli account non produttivi per testare nuovi strumenti.

Sicurezza dell'API dei servizi Web di Amazon - manichini

Scelta dell'editore

Vantaggi di base della rete - manichini

Vantaggi di base della rete - manichini

Se la verità viene detta, le reti di computer sono un problema da impostare. Perché i vantaggi di avere una rete rendono la pena di crearne uno utile. Non è necessario essere un dottorato di ricerca per comprendere i vantaggi del networking. Le reti riguardano esclusivamente la condivisione. Nello specifico, le reti riguardano la condivisione di tre elementi: informazioni, risorse, ...

Biometria L'accettazione, la privacy e la legge - manichini

Biometria L'accettazione, la privacy e la legge - manichini

La tecnologia biometrica non è affatto universalmente accettata da tutti gli utenti. Ci sono una serie di considerazioni sociali e legali che danno ad ogni organizzazione una pausa prima di fare il salto a capofitto nell'implementazione di un sistema biometrico. Le persone sono più a loro agio con i sistemi di raccolta biometrici che sono i meno intrusivi. Scanner per retina e nasi elettronici sono ...

Biometria Nozioni di base - manichini

Biometria Nozioni di base - manichini

La biometria non è roba da fantascienza. Puoi trovare una dozzina di modi più o meno efficaci per utilizzare la biometria per identificare qualcuno, ognuno dei quali si divide in due classi: la biometria fisiologica misura una parte specifica della struttura o della forma di una porzione del corpo di un soggetto. La biometria comportamentale è più interessata a come ...

Scelta dell'editore

Come creare un nuovo dizionario personalizzato in Excel 2007 - dummies

Come creare un nuovo dizionario personalizzato in Excel 2007 - dummies

In Excel 2007, è possibile creare dizionari personalizzati da utilizzare quando si esegue il controllo ortografico dei fogli di lavoro. Utilizzare il pulsante Aggiungi al dizionario nella finestra di dialogo Controllo ortografico per aggiungere parole sconosciute a un dizionario personalizzato. Per impostazione predefinita, Excel aggiunge queste parole a un file dizionario personalizzato denominato CUSTOM. DIC, ma è possibile creare una nuova personalizzazione ...

Come creare un componente aggiuntivo da un file di cartella di lavoro Excel Excel normale in VBA - modi di dire

Come creare un componente aggiuntivo da un file di cartella di lavoro Excel Excel normale in VBA - modi di dire

Sebbene sia possibile convertire qualsiasi cartella di lavoro di Excel in un componente aggiuntivo, non tutte le cartelle di lavoro traggono vantaggio da questa conversione. Una cartella di lavoro senza macro rende un componente aggiuntivo inutile. In effetti, gli unici tipi di cartelle di lavoro che traggono vantaggio dall'essere convertiti in un componente aggiuntivo sono quelli con macro. Ad esempio, una cartella di lavoro costituita da macro generiche (Sub ...

Come creare una nuova cartella di lavoro in Excel 2010 - dummy

Come creare una nuova cartella di lavoro in Excel 2010 - dummy

Se si lavora in Microsoft Excel 2010 e vuoi iniziare a lavorare in un nuovo file di cartella di lavoro di Excel, puoi facilmente creare una nuova cartella di lavoro. Per fare ciò, puoi usare un comando nella scheda File o una scorciatoia da tastiera. Fare clic sulla scheda File. Excel visualizza la visualizzazione Backstage, in cui è possibile accedere ai comandi relativi ai file. ...

Scelta dell'editore

Usa lo strumento Gomma in Adobe Illustrator CS5 - manichini

Usa lo strumento Gomma in Adobe Illustrator CS5 - manichini

Adobe Illustrator Creative Suite 5 (Adobe CS5) Illustrator è utilizzato per rimuovere rapidamente aree di grafica con la stessa facilità con cui si cancellano i pixel in Photoshop, accarezzando con il mouse su qualsiasi forma o gruppo di forme. Facendo doppio clic sullo strumento Gomma, è possibile definire il diametro, l'angolo e la rotondità della gomma. Se stai usando un ...

Trasforma gli strumenti in Adobe Illustrator CS5 - dummies

Trasforma gli strumenti in Adobe Illustrator CS5 - dummies

I più popolari strumenti di trasformazione in Adobe Creative Suite 5 (Adobe CS5) Illustrator - Rifletti, scala, inclina, rimodella e Trasformazione libera: sono facili da usare e modificano rapidamente la tua illustrazione. Lo strumento Rifletti Niente è simmetrico, giusto? Forse no, ma gli oggetti non creati simmetricamente in Illustrator possono sembrare off-kilter. Utilizzando lo strumento Rifletti, si ...

Quando utilizzare Adobe CS5 Illustrator - dummies

Quando utilizzare Adobe CS5 Illustrator - dummies

Utilizzando Adobe Creative Suite 5 (Adobe CS5) Illustrator anziché Photoshop , ottieni diversi benefici. Potresti aver sentito che Illustrator è migliore per la grafica vettoriale, ma perché e che altro porta? Illustrator può salvare ed esportare immagini nella maggior parte dei formati di file. Scegliendo di salvare o esportare, è possibile creare un ...