Huis Persoonlijke financiën Amazon Web Services API-beveiliging - dummies

Amazon Web Services API-beveiliging - dummies

Video: Introduction to Amazon Web Services by Leo Zhadanovsky 2024

Video: Introduction to Amazon Web Services by Leo Zhadanovsky 2024
Anonim

Hier is een voor de hand liggende vraag bij het omgaan met proxy's van derden: als deze hulpmiddelen voor u werken, weet Amazon Web Services (AWS) dan dat de persoon namens wie zij handelen is het in feite ? Met andere woorden, hoe kan AWS uw identiteit verifiëren om ervoor te zorgen dat de opdrachten die het ontvangt van u zijn? In feite is dezelfde vraag ook geldig als u rechtstreeks met de AWS API communiceert. Hoe kan AWS uw identiteit valideren om ervoor te zorgen dat het alleen opdrachten voor u uitvoert?

Eén manier is natuurlijk om de gebruikersnaam en het wachtwoord van je account op te nemen in de API-aanroepen. Hoewel sommige cloudproviders deze benadering volgen, doet Amazon dat niet.

In plaats van te vertrouwen op een gebruikersnaam en wachtwoord, vertrouwt het op twee andere ID's om de API-serviceaanvragen te verifiëren: de toegangssleutel en de geheime toegangssleutel. Het gebruikt deze sleutels in serviceaanvragen om beveiliging te implementeren op een manier die veel veiliger is dan alleen het gebruik van uw gebruikersnaam en wachtwoord.

Dus hoe werkt het? Wanneer u zich aanmeldt voor een account bij AWS, hebt u de mogelijkheid om een ​​toegangssleutel te maken en een geheime toegangscode naar u te laten verzenden. Elk is een lange reeks willekeurige tekens en de geheime toegangssleutel is de langste van de twee. Wanneer u de geheime toegangssleutel downloadt, zou u het ergens heel veilig moeten opslaan, omdat het de sleutel (sorry - slechte woordspeling) is om beveiligde serviceaanvragen te implementeren.

Nadat u dit hebt gedaan, hebben zowel u als Amazon een kopie van de toegangssleutel en de geheime toegangssleutel. Het bewaren van een kopie van de geheime toegangssleutel is van cruciaal belang omdat het wordt gebruikt om informatie die heen en weer wordt verzonden tussen u en AWS te versleutelen. Als u de geheime toegangssleutel niet hebt, kunt u geen serviceaanvragen uitvoeren op AWS.

De manier waarop de twee toetsen worden gebruikt, is conceptueel eenvoudig, hoewel enigszins uitdagend in detail.

In principe doet u voor elk servicegesprek dat u wilt uitvoeren (of een hulpprogramma dat voor u werkt) het volgende:

De payload voor de serviceaanvraag maken.

  1. Dit zijn de gegevens die u naar AWS moet verzenden. Het kan een object zijn dat u in S3 wilt opslaan of de afbeelding-ID van een afbeelding die u wilt starten. (U voegt ook andere gegevens toe aan de payload, maar omdat deze verschillen op basis van de details van de serviceaanroep, worden ze hier niet vermeld. Eén gegeven is de huidige tijd.)

    De payload versleutelen met behulp van de geheime toegangssleutel.

  2. Als u dat doet, kan niemand de payload bekijken en ontdekken wat erin zit.

    Scan de gecodeerde payload digitaal door de geheime toegangssleutel toe te voegen aan de gecodeerde payload en een proces voor digitale handtekeningen uit te voeren met behulp van de geheime toegangssleutel.

  3. Geheime toegangstoetsen zijn langer en meer willekeurig dan standaardgebruikerswachtwoorden; de lange geheime toegangssleutel maakt de versleuteling veiliger dan het zou zijn als het zou worden uitgevoerd met een typisch gebruikerswachtwoord.

    Verzend de totale gecodeerde payload samen met uw toegangssleutel naar AWS via een serviceaanvraag.

  4. Amazon gebruikt de toegangssleutel om uw geheime toegangssleutel op te zoeken, die wordt gebruikt om de payload te decoderen. Als de gedecodeerde payload leesbare tekst vertegenwoordigt die kan worden uitgevoerd, voert AWS de serviceaanroep uit. Anders wordt geconcludeerd dat er iets mis is met de serviceaanroep (misschien is dit door een kwaadwillende actor genoemd) en voert het serviceverzoek niet uit.

    Naast de zojuist beschreven codering heeft AWS nog twee andere methoden die worden gebruikt om de legitimiteit van de serviceaanroep te waarborgen:

De eerste is gebaseerd op de datuminformatie bij de payload van de serviceaanvraag, die wordt gebruikt om te bepalen of de tijd behorend bij het maken van de serviceaanvraag geschikt is; als de datum in de serviceaanroep heel anders is dan zou moeten zijn (veel eerder of later dan de huidige tijd, met andere woorden), concludeert AWS dat het geen legitieme serviceaanvraag is en gooit het weg.

  • De tweede extra beveiligingsmaatregel betreft een controlesom die u voor de payload berekent. (Een

  • controlesom is een getal dat de inhoud van een bericht vertegenwoordigt.) AWS berekent een controlesom voor de payload; als de controlesom niet overeenkomt met de jouwe, wordt de serviceaanvraag niet toegestaan ​​en niet uitgevoerd. Deze controlesombenadering zorgt ervoor dat niemand de inhoud van een bericht beschadigt en voorkomt dat een kwaadwillende acteur een legitieme serviceaanroep onderschept en deze wijzigt om een ​​onaanvaardbare actie uit te voeren. Als iemand het bericht saboteert, als AWS een controlesom berekent, komt die controlesom niet meer overeen met die in het bericht en weigert AWS de serviceaanvraag uit te voeren.

    Als u, zoals de meeste AWS-gebruikers, een proxy-methode gebruikt om te communiceren met AWS - de AWS-beheerconsole, een taalbibliotheek of een hulpmiddel van derden - moet u uw toegangssleutel en geheime toegangssleutel tot de proxy opgeven. Wanneer de proxy AWS-serviceaanvragen namens u uitvoert, bevat deze de toegangssleutel in de aanroep en gebruikt de geheime toegangssleutel om de payload-codering uit te voeren.

Vanwege de cruciale rol die deze sleutels vervullen in AWS, moet u deze

alleen delen met entiteiten die u vertrouwt. Als u een nieuwe tool van een derde partij wilt uitproberen en u weet niet veel over het bedrijf, stel dan een AWS-testaccount in voor de proef in plaats van de inloggegevens van uw productie AWS-account te gebruiken. Op die manier kunt u, als u besluit om niet verder te gaan met de tool, deze laten vallen, het test-AWS-account beëindigen en verder gaan, zonder zich zorgen te maken over mogelijke beveiligingskwetsbaarheden in uw belangrijkste productieaccounts. Natuurlijk kunt u altijd nieuwe toegangssleutels en geheime toegangssleutels maken, maar het gebruik van uw productietoetsen voor tests en het wijzigen van de toetsen levert veel werk op, omdat u elke plaats moet bijwerken die verwijst naar uw bestaande sleutels. Als je net als veel andere AWS-gebruikers bent, gebruik je een aantal hulpprogramma's en bibliotheken en het is lastig om ze opnieuw te gebruiken om je sleutels bij te werken. U kunt beter niet-productiegerelateerde accounts gebruiken om nieuwe tools te testen.

Amazon Web Services API-beveiliging - dummies

Bewerkers keuze

Bewerkers keuze

Tien Helpbronnen voor Junos OS - dummies

Tien Helpbronnen voor Junos OS - dummies

Persoonlijke financiën

Dit is een top-tien lijst met bronnen die u moet zoeken meer informatie over softwarebewerkingen, training en ondersteuning voor Junos - alle extra details die u mogelijk nodig heeft om Junos OS te kunnen configureren en bedienen in uw eigen netwerkimplementaties. CLI Help-commando's Bent u op zoek naar meer achtergrondinformatie over hoe een bepaalde functie ...

De functie van de drie vlakken van Junos netwerk OS - dummies

De functie van de drie vlakken van Junos netwerk OS - dummies

Persoonlijke financiën

De architectuur van de Junos opererende systeem verdeelt de functies van besturing, services en doorsturen op verschillende niveaus. Elk van de vlakken van Junos OS biedt een kritieke set van functionaliteit in de werking van het netwerk. Besturingsvlak van het Junos-netwerkbesturingssysteem (NOS) Alle functies van het besturingsvlak lopen op ...

De basisprincipes van BGP-routebealing - dummy's

De basisprincipes van BGP-routebealing - dummy's

Persoonlijke financiën

Het configureren van Border Gateway Protocol (BGP) kan nogal lastig zijn, vooral met grote aantallen peersessies die handmatig moeten worden geconfigureerd. In feite kan in een groot netwerk de full-mesh-vereiste voor IBGP een provisioning-nachtmerrie zijn. BGP's antwoord op de IBGP-paring-configuratie-nachtmerrie die het volledige maaswerk is, wordt routeberefening genoemd. Route ...

Bewerkers keuze

Noodzakelijke elementen voor SEO om hoge trefwoorden te krijgen - dummies

Noodzakelijke elementen voor SEO om hoge trefwoorden te krijgen - dummies

Sociale Media

Als de allerbeste locatie op het web staat op de pagina een van de zoekmachines, je moet de SEO-elementen kennen die je daar kunnen brengen. Een goede plek om te beginnen is met zoekwoorden. Zoekmachines gebruiken geavanceerde processen om zoekwoordgebruik en andere factoren te categoriseren en analyseren om erachter te komen ...

Persberichten als bron van SEO-inhoud - dummies

Persberichten als bron van SEO-inhoud - dummies

Sociale Media

Het leuke aan persberichten is dat u ze zonder toestemming op uw website kunt gebruiken, en sommige zullen al voor de zoekmachine zijn geoptimaliseerd. Het doel van een persbericht is om het uit te sturen en te zien wie het ophaalt. U hoeft geen contact op te nemen met de eigenaar van het persbericht, omdat ...

Kies een domeinnaam die geoptimaliseerd is voor zoekmachines - dummies

Kies een domeinnaam die geoptimaliseerd is voor zoekmachines - dummies

Sociale Media

Zelfs de domeinnaam van uw site moet geoptimaliseerd voor zoekmachines. Zoekmachines lezen uniforme resource locators (URL's), op zoek naar sleutelwoorden erin. Bijvoorbeeld als u een website heeft met de domeinnaam knaagdierracen. com en iemand zoekt Google op knaagdierenraces, Google ziet rodent-racing als een wedstrijd; omdat er een streepje verschijnt tussen de twee ...

Bewerkers keuze

Praxis Elementair onderwijs Examen-Economie - dummies

Praxis Elementair onderwijs Examen-Economie - dummies

Sociale Media

U zult enkele basisconcepten van de economie voor de Praxis moeten kennen Elementair onderwijs examen. Elementaire economie onderzoekt de wens voor, de productie van en de verkoop en het gebruik van geld, zowel lokaal als wereldwijd. Het onderwijzen van economie omvat concepten zoals behoeften versus behoeften, kosten en meer tot nadenken stemmende onderwerpen, zoals de volgende: ...

Praxis Elementair onderwijs voor Dummy's Cheat Sheet - dummies

Praxis Elementair onderwijs voor Dummy's Cheat Sheet - dummies

Sociale Media

Het Praxis basisonderwijs: Curriculum, instructie en beoordeling examen (5017) bestrijkt een breed scala van wat u moet weten over basisonderwijs. Als u het Praxis Elementary Education: Content Knowledge-examen (5018) neemt, moet u zich ervan bewust zijn dat het de dekking beperkt tot de inhoud van de vier hoofdonderwerpen die een elementaire leraar is ...

Praxis Core For Dummies Cheat Sheet - dummies

Praxis Core For Dummies Cheat Sheet - dummies

Sociale Media

Voordat je te opgewonden raakt, begrijp dat de informatie die volgt niet klopt eigenlijk niet over het bedriegen van de Praxis. Het gaat echt meer om de meest efficiënte manieren om je voor te bereiden op het examen. Maar "voorbereidingsblad" heeft niet helemaal dezelfde reden. Trouwens, vals spelen is niet nodig als je weet wat je aan het doen bent, en ...

Bewerkers keuze

Bewerkers keuze

Populaire categorieën

© Copyright nl.blender3dtutorials.com, 2024 Oktober | Over site | Contacten | Privacybeleid.