Signature cryptographique des licences dans License Manager

License Manager peut signer de manière cryptographique les licences émises par un ISV ou via AWS Marketplace au nom d'unISV. La signature permet aux fournisseurs de valider l'intégrité et l'origine d'une licence au sein de l'application elle-même, même dans un environnement hors ligne.

Pour signer des licences, License Manager utilise un système asymétrique AWS KMS key appartenant à un ISV et protégé dans AWS Key Management Service (AWS KMS). Ce service géré par le client CMK consiste en une paire de clés publiques et de clés privées liées mathématiquement. Lorsqu'un utilisateur demande une licence, License Manager génère un JSON objet répertoriant les droits de licence et signe cet objet avec la clé privée. La signature et l'JSONobjet en texte brut sont renvoyés à l'utilisateur. Toute personne à qui ces objets sont présentés peut utiliser la clé publique pour vérifier que le texte de la licence n'a pas été modifié et que la licence a été signée par le propriétaire de la clé privée. La partie privée de la paire de clés ne part jamais AWS KMS. Pour plus d'informations sur la cryptographie asymétrique dans AWS KMS, voir Utilisation de touches symétriques et asymétriques.

Note

License Manager appelle AWS KMS Signet les VerifyAPIopérations lors de la signature et de la vérification des licences. Le CMK doit avoir une valeur d'utilisation clé de SIGN_ VERIFY pour être utilisé par ces opérations. Cette variété de CMK ne peut pas être utilisée pour le chiffrement et le déchiffrement.

Le flux de travail suivant décrit l'émission de licences signées par chiffrement :

Dans le volet AWS KMS console, ou APISDK, l'administrateur de licence crée un système asymétrique géré par CMK le client. Ils CMK doivent utiliser la clé Sign and Verify et prendre en charge l'algorithme de signature RSASSA - PSS SHA -256. Pour plus d'informations, consultez les sections Création d'une configuration asymétrique CMKs et Comment choisir votre CMK configuration.
Dans License Manager, l'administrateur de licence crée une configuration de consommation qui inclut un AWS KMS ARNou ID. La configuration peut spécifier les options Borrow et Provisional, ou les deux. Pour plus d'informations, consultez la section Création d'un bloc de licences émises par le vendeur.

Un utilisateur final obtient la licence à l'aide de l'opération CheckoutLicenseor CheckoutBorrowLicenseAPI. L'CheckoutBorrowLicenseopération n'est autorisée que sur les licences sur lesquelles Borrow est configuré. Il renvoie une signature numérique dans le cadre de sa réponse, ainsi que l'JSONobjet listant les droits. Le texte en clair JSON ressemble à ce qui suit :


{
   "entitlementsAllowed":[
      {
         "name":"EntitlementCount",
         "unit":"Count",
         "value":"1"
      }
   ],
   "expiration":"2020-12-01T00:47:35",
   "issuedAt":"2020-11-30T23:47:35",
   "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE",
   "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE",
   "nodeId":"100.20.15.10",
   "checkoutMetadata":{
      "Mac":"ABCDEFGHI"
   }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS politiques gérées

Validation de conformité