Signature des demandes d'API AWS - Référence générale d'AWS
Quand signer des demandes ?Pourquoi les demandes sont-elles signées ?

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Signature des demandes d'API AWS

Si vous utilisez unAWS SDK ou un outil de ligne deAWS commande pour envoyer des demandes d'APIAWS, ces outils signent les demandes d'API à votre place. Vous ne devez signer les demandes d'AWSAPI comme décrit dans cette documentation que si vous n'utilisez pas deAWS SDK ou d'outil de ligne deAWS commande pour envoyer des demandesAWS d'API.

Lorsque vous envoyez des demandes d'API àAWS, vous devez les signer afin deAWS pouvoir identifier l'expéditeur. Pour des raisons de sécurité, la plupart des demandes sont signées à l'aideAWS de vos informations d'identification de sécurité. Pour plus d'informations, veuillez consulter Accès programmatique.

Lorsqu'unService AWS reçoit une demande authentifiée, il recrée la signature à l'aide des informations d'authentification contenues dans la demande. Si les signatures correspondent, le service traite la demande. Dans le cas contraire, il rejette la demande.

La version 4 de Signature est le protocole deAWS signature. AWSprend également en charge une extension, Signature Version 4A, qui prend en charge les signatures pour les demandes d'API multirégionales. Pour plus d'informations, consultez lea-signing-examples projet sigv4 sur GitHub.

Table des matières

Quand signer des demandes ?

Lorsque vous écrivez du code personnalisé qui envoie des demandes d'API àAWS, vous devez inclure le code qui signe les demandes. Vous pouvez écrire du code personnalisé pour les raisons suivantes :

  • Vous utilisez un langage de programmation pour lequel il n'existe aucun kit SDK AWS.

  • Vous devez avoir un contrôle total sur la manière dont les demandes sont envoyéesAWS.

Pourquoi les demandes sont-elles signées ?

Le processus de signature aide à sécuriser les demandes de différentes façons :

  • Vérifier l'identité du demandeur

    Les demandes doivent être envoyées par une personne disposant d'une clé d'accès valide.

  • Protéger les données en transit

    Pour éviter qu'une demande ne soit falsifiée pendant son transit, certains de ses éléments sont utilisés pour calculer son hachage (digest) et la valeur de hachage obtenue est incluse comme partie intégrante de la demande. Lorsque anService AWS reçoit la demande, il utilise les mêmes informations pour calculer un hachage et le compare à la valeur de hachage de votre demande. Si les valeurs ne correspondent pas, AWS refuse la demande.

  • Assurer une protection contre les attaques potentielles par relecture

    Dans la plupart des cas, une demande doit parvenir à AWS dans les cinq minutes suivant son horodatage. Sinon, AWS refuse la demande.