Amazon Web Services
Allgemeine Referenz (Version 1.0)

Signaturprozess mit Signaturversion 4

Signaturversion 4 ist der Prozess zum Hinzufügen von Authentifizierungsinformationen zu AWS-Anforderungen, die über HTTP gesendet wurden. Aus Sicherheitsgründen müssen die meisten Anforderungen an AWS mit einem Zugriffsschlüssel signiert werden, der aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel besteht. Diese beiden Schlüssel werden in der Regel als Sicherheitsanmeldeinformationen bezeichnet. Weitere Informationen zum Abrufen von Anmeldeinformationen für Ihr Konto finden Sie unter Verstehen und Abrufen von Sicherheitsanmeldeinformationen.

Wichtig

Wenn Sie die AWS Command Line Interface (AWS CLI) oder eines der AWS-SDKs verwenden, um Anforderungen an AWS zu senden, signieren diese Tools die Anforderungen automatisch für Sie, und zwar mit den Sicherheitsanmeldeinformationen, die Sie bei der Konfiguration der Tools angeben. Wenn Sie diese Tools verwenden, müssen Sie nicht lernen, wie Sie Anforderungen signieren. Wenn Sie jedoch HTTP-Anforderungen für den Zugriff auf AWS-Services manuell erstellen, müssen Sie die Anforderungen, die eine Signierung erfordern, selbst signieren.

Funktionsweise von Signaturversion 4

  1. Erstellen Sie eine kanonische Anforderung.

  2. Verwenden Sie die kanonische Anforderung und zusätzliche Metadaten, um eine Zeichenfolge für die Signierung zu erstellen.

  3. Leiten Sie einen Signaturschlüssel von Ihrem geheimen AWS-Zugriffsschlüssel ab. Verwenden Sie dann den Signaturschlüssel und die Zeichenfolge aus dem vorherigen Schritt, um eine Signatur zu erstellen.

  4. Fügen Sie diese Signatur der HTTP-Anforderung in einem Header oder als Abfragezeichenfolgenparameter hinzu.

Wenn die Anforderung bei einem AWS-Service eingeht, werden die gleichen Schritte ausgeführt, die Sie zum Berechnen der Signatur aus Ihrer Anfrage durchgeführt haben. AWS vergleicht dann die berechnete Signatur mit derjenigen, die Sie mit der Anforderung gesendet haben. Wenn die Signaturen übereinstimmen, wird die Anforderung verarbeitet. Wenn die Signaturen nicht übereinstimmen, wird die Anforderung abgelehnt.

Weitere Informationen finden Sie in den folgenden Ressourcen: