Kryptografisches Signieren von Lizenzen - AWS License Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kryptografisches Signieren von Lizenzen

License Manager kann Lizenzen, die von einem ISV oder im Namen eines ISV ausgestellt wurden, kryptografisch signieren. AWS Marketplace Mithilfe der Signatur können Anbieter die Integrität und Herkunft einer Lizenz innerhalb der Anwendung selbst überprüfen, selbst in einer Offline-Umgebung.

Um Lizenzen zu signieren, verwendet License Manager eine asymmetrische Version, die zu einem ISV AWS KMS key gehört und in AWS Key Management Service ()AWS KMS geschützt ist. Dieses vom Kunden verwaltete CMK besteht aus einem mathematisch verwandten Paar aus öffentlichem und privatem Schlüssel. Wenn ein Benutzer eine Lizenz anfordert, generiert License Manager ein JSON-Objekt, das die Lizenzberechtigungen auflistet, und signiert dieses Objekt mit dem privaten Schlüssel. Die Signatur und das Klartext-JSON-Objekt werden an den Benutzer zurückgegeben. Jede Partei, der diese Objekte vorgelegt werden, kann anhand des öffentlichen Schlüssels überprüfen, ob der Text der Lizenz nicht geändert wurde und dass die Lizenz vom Eigentümer des privaten Schlüssels signiert wurde. Der private Teil des key pair wird niemals verlassen AWS KMS. Weitere Informationen zur asymmetrischen Kryptografie finden Sie unter Verwenden von symmetrischen und asymmetrischen Schlüsseln. AWS KMS

Anmerkung

License Manager ruft beim Signieren AWS KMS Signund Überprüfen von Lizenzen die und VerifyAPI-Operationen auf. Der CMK muss den Schlüsselverwendungswert SIGN_VERIFY haben, damit er von diesen Vorgängen verwendet werden kann. Diese Variante von CMK kann nicht für die Verschlüsselung und Entschlüsselung verwendet werden.

Der folgende Arbeitsablauf beschreibt die Ausstellung von kryptografisch signierten Lizenzen:

  1. In der AWS KMS Konsole, der API oder dem SDK erstellt der Lizenzadministrator ein asymmetrisches, vom Kunden verwaltetes CMK. Der CMK muss eine Schlüsselverwendung von sign and verify haben und den RSASSA-PSS-SHA-256-Signaturalgorithmus unterstützen. Weitere Informationen finden Sie unter Asymmetrische CMKs erstellen und So wählen Sie Ihre CMK-Konfiguration aus.

  2. In License Manager erstellt der Lizenzadministrator eine Verbrauchskonfiguration, die einen AWS KMS ARN oder eine ID enthält. Die Konfiguration kann eine oder beide Optionen „Ausleihen“ und „Vorläufig“ angeben. Weitere Informationen finden Sie unter Einen Block mit vom Verkäufer ausgestellten Lizenzen erstellen.

  3. Ein Endbenutzer erhält die Lizenz mithilfe der CheckoutBorrowLicenseAPI-Operation CheckoutLicenseoder. Der CheckoutBorrowLicense Vorgang ist nur für Lizenzen zulässig, für die Borrow konfiguriert ist. Als Teil der Antwort wird eine digitale Signatur zusammen mit dem JSON-Objekt zurückgegeben, das die Berechtigungen auflistet. Das Klartext-JSON sieht wie folgt aus:

    { "entitlementsAllowed":[ { "name":"EntitlementCount", "unit":"Count", "value":"1" } ], "expiration":"2020-12-01T00:47:35", "issuedAt":"2020-11-30T23:47:35", "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE", "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE", "nodeId":"100.20.15.10", "checkoutMetadata":{ "Mac":"ABCDEFGHI" } }