Firma criptográfica de licencias

License Manager puede firmar criptográficamente las licencias emitidas por un ISV o a través de ellas AWS Marketplace en nombre de un ISV. La firma permite a los proveedores validar la integridad y el origen de una licencia dentro de la propia aplicación, incluso en un entorno fuera de línea.

Para firmar las licencias, License Manager utiliza una asimétrica AWS KMS key que pertenece a un ISV y está protegida en AWS Key Management Service ()AWS KMS. Esta CMK administrada por el cliente se compone de un par de claves privadas y públicas relacionadas matemáticamente. Cuando un usuario solicita una licencia, License Manager genera un objeto JSON con los derechos de licencia y firma este objeto con la clave privada. La firma y el objeto JSON de texto no cifrado se devuelven al usuario. Cualquier persona a la que se le presenten estos objetos puede utilizar la clave pública para validar que el texto de la licencia no se ha alterado y que la licencia la ha firmado el propietario de la clave privada. La parte privada del key pair nunca sale AWS KMS. Para obtener más información sobre la criptografía asimétrica en AWS KMS, consulte Uso de claves simétricas y asimétricas.

nota

License Manager llama a las operaciones AWS KMS Signy a la VerifyAPI al firmar y verificar las licencias. La CMK debe tener un valor de uso de clave de SIGN_VERIFY para que se pueda utilizar en estas operaciones. Esta variedad de CMK no se puede utilizar para cifrado y descifrado.

El siguiente flujo de trabajo describe la emisión de licencias firmadas criptográficamente:

En la AWS KMS consola, la API o el SDK, el administrador de licencias crea una CMK asimétrica gestionada por el cliente. La CMK debe tener un uso de la clave de firma y verificación, y admitir el algoritmo de firma RSASSA-PSS SHA-256. Para obtener más información, consulte Creación de CMK asimétricas y Cómo elegir la configuración de CMK.
En License Manager, el administrador de licencias crea una configuración de consumo que incluye un AWS KMS ARN o un ID. La configuración puede especificar la opción Préstamo o Provisional, o bien ambas. Para obtener más información, consulte Cómo crear un bloque de licencias emitidas por el vendedor.

El usuario final obtiene la licencia mediante las operaciones de API CheckoutLicense o CheckoutBorrowLicense. La operación CheckoutBorrowLicense solo está permitida en las licencias con la opción Préstamo configurada. Devuelve una firma digital como parte de su respuesta junto con el objeto JSON que enumera los derechos. El objeto JSON de texto sin cifrar se parece al siguiente:


{
   "entitlementsAllowed":[
      {
         "name":"EntitlementCount",
         "unit":"Count",
         "value":"1"
      }
   ],
   "expiration":"2020-12-01T00:47:35",
   "issuedAt":"2020-11-30T23:47:35",
   "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE",
   "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE",
   "nodeId":"100.20.15.10",
   "checkoutMetadata":{
      "Mac":"ABCDEFGHI"
   }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS políticas gestionadas

Validación de conformidad