Signature cryptographique des licences

License Manager peut signer de manière cryptographique les licences émises par un ISV ou par l'intermédiaire d'un ISV pour AWS Marketplace le compte d'un ISV. La signature permet aux fournisseurs de valider l'intégrité et l'origine d'une licence au sein de l'application elle-même, même dans un environnement hors ligne.

Pour signer des licences, License Manager utilise une asymétrique AWS KMS key appartenant à un ISV et protégée par AWS Key Management Service ()AWS KMS. Cette clé CMK gérée par le client consiste en une paire de clés publiques et de clés privées liées mathématiquement. Lorsqu'un utilisateur demande une licence, License Manager génère un objet JSON répertoriant les droits de licence et signe cet objet avec la clé privée. La signature et l'objet JSON en texte brut sont renvoyés à l'utilisateur. Toute personne à qui ces objets sont présentés peut utiliser la clé publique pour vérifier que le texte de la licence n'a pas été modifié et que la licence a été signée par le propriétaire de la clé privée. La partie privée de la paire de clés ne disparaît jamais AWS KMS. Pour plus d'informations sur le chiffrement asymétrique dans AWS KMS, voir Utilisation de clés symétriques et asymétriques.

Note

License Manager appelle les opérations AWS KMS Signet VerifyAPI lors de la signature et de la vérification des licences. La clé CMK doit avoir une valeur d'utilisation clé de SIGN_VERIFY pour qu'elle soit utilisée par ces opérations. Cette variété de CMK ne peut pas être utilisée pour le chiffrement et le déchiffrement.

Le flux de travail suivant décrit l'émission de licences signées par chiffrement :

Dans la AWS KMS console, l'API ou le SDK, l'administrateur de licence crée une clé CMK asymétrique gérée par le client. La clé CMK doit avoir une utilisation de clé Signer et vérifier, et prendre en charge l'algorithme de signature RSASSA-PSS SHA-256. Pour plus d'informations, consultez les sections Création de CMK asymétriques et Comment choisir votre configuration CMK.
Dans License Manager, l'administrateur de licence crée une configuration de consommation qui inclut un AWS KMS ARN ou un ID. La configuration peut spécifier les options Borrow et Provisional, ou les deux. Pour plus d'informations, voir Création d'un bloc de licences émises par le vendeur.

Un utilisateur final obtient la licence à l'aide de l'opération CheckoutLicenseor CheckoutBorrowLicenseAPI. L'CheckoutBorrowLicenseopération n'est autorisée que sur les licences sur lesquelles Borrow est configuré. Il renvoie une signature numérique dans le cadre de sa réponse, ainsi que l'objet JSON listant les droits. Le JSON en texte brut ressemble à ce qui suit :


{
   "entitlementsAllowed":[
      {
         "name":"EntitlementCount",
         "unit":"Count",
         "value":"1"
      }
   ],
   "expiration":"2020-12-01T00:47:35",
   "issuedAt":"2020-11-30T23:47:35",
   "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE",
   "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE",
   "nodeId":"100.20.15.10",
   "checkoutMetadata":{
      "Mac":"ABCDEFGHI"
   }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Validation de conformité