Bagaimana AWS SiGv4 bekerja Kapan menandatangani permintaan Mengapa permintaan ditandatangani Sumber daya tambahan

AWS Signature Version 4 untuk API permintaan

penting

Jika Anda menggunakan alat AWS SDK (lihat Contoh Kode dan Pustaka) atau AWS Command Line Interface (AWS CLI) untuk mengirim API permintaan AWS, Anda dapat melewati proses tanda tangan, karena CLI klien SDK dan mengautentikasi permintaan Anda dengan menggunakan kunci akses yang Anda berikan. Kecuali Anda memiliki alasan yang baik untuk tidak melakukannya, kami sarankan Anda selalu menggunakan SDK atauCLI.

Di Wilayah yang mendukung beberapa versi tanda tangan, menandatangani permintaan secara manual berarti Anda harus menentukan versi tanda tangan yang akan digunakan. Saat Anda menyediakan permintaan ke Titik Akses Multi-Wilayah, SDKs dan CLI secara otomatis beralih menggunakan Signature Version 4A tanpa konfigurasi tambahan.

Informasi otentikasi yang Anda kirim dalam permintaan harus menyertakan tanda tangan. AWS Sigv4 (SigV4) adalah protokol AWS penandatanganan untuk menambahkan informasi otentikasi ke permintaan. AWS API

Anda tidak menggunakan kunci akses rahasia Anda untuk menandatangani API permintaan. Sebagai gantinya, Anda menggunakan proses penandatanganan SiGv4. Permintaan penandatanganan melibatkan:

Membuat permintaan kanonik berdasarkan detail permintaan.
Menghitung tanda tangan menggunakan AWS kredensional Anda.
Menambahkan tanda tangan ini ke permintaan sebagai header Otorisasi.

AWS kemudian mereplikasi proses ini dan memverifikasi tanda tangan, memberikan atau menolak akses yang sesuai.

catatan

AWS juga mendukung ekstensi, Signature Version 4A, yang mendukung tanda tangan untuk permintaan Multi-region. API Untuk informasi lebih lanjut, lihat a-signing-examples proyek sigv4 di. GitHub

Bagaimana AWS SiGv4 bekerja

Diagram berikut menggambarkan proses umum komputasi tanda tangan:

Gambar bagian tanda tangan, termasuk string yang akan ditandatangani, kunci penandatanganan, dan tanda tangan yang dihitung.

String yang akan ditandatangani tergantung pada jenis permintaan. Misalnya, saat Anda menggunakan header HTTP Otorisasi atau parameter kueri untuk otentikasi, Anda menggunakan kombinasi elemen permintaan untuk membuat string yang akan ditandatangani. Untuk HTTP POST permintaan, POST kebijakan dalam permintaan adalah string yang Anda tandatangani.
Kunci penandatanganan adalah serangkaian perhitungan, dengan hasil dari setiap langkah dimasukkan ke langkah berikutnya. Langkah terakhir adalah kunci penandatanganan.
Ketika sebuah AWS layanan menerima permintaan yang diautentikasi, ia membuat ulang tanda tangan menggunakan informasi otentikasi yang terkandung dalam permintaan. Jika tanda tangan cocok, layanan memproses permintaan. Kalau tidak, itu menolak permintaan.

Untuk informasi selengkapnya, lihat Elemen tanda tangan AWS API permintaan.

Kapan menandatangani permintaan

Saat Anda menulis kode khusus yang mengirimkan API permintaan AWS, Anda harus menyertakan kode yang menandatangani permintaan. Anda dapat menulis kode khusus karena:

Anda bekerja dengan bahasa pemrograman yang tidak ada AWS SDK.
Anda memerlukan kontrol penuh atas bagaimana permintaan dikirim AWS.

Sementara API permintaan mengautentikasi akses dengan AWS SigV4, AWS SDKs dan AWS CLI mengautentikasi permintaan Anda dengan menggunakan kunci akses yang Anda berikan. Untuk informasi selengkapnya tentang autentikasi dengan AWS SDKs dan AWS CLI, lihatSumber daya tambahan.

Mengapa permintaan ditandatangani

Proses penandatanganan membantu mengamankan permintaan dengan cara berikut:

Verifikasi identitas pemohon

Permintaan yang diautentikasi memerlukan tanda tangan yang Anda buat dengan menggunakan kunci akses Anda (ID kunci akses, kunci akses rahasia). Jika Anda menggunakan kredenal keamanan sementara, perhitungan tanda tangan juga memerlukan token keamanan. Untuk informasi selengkapnya, lihat akses terprogram kredensional AWS keamanan.
Lindungi data dalam perjalanan

Untuk mencegah gangguan pada permintaan saat sedang transit, beberapa elemen permintaan digunakan untuk menghitung hash (intisari) permintaan, dan nilai hash yang dihasilkan disertakan sebagai bagian dari permintaan. Ketika AWS layanan menerima permintaan, ia menggunakan informasi yang sama untuk menghitung hash dan mencocokkannya dengan nilai hash dalam permintaan Anda. Jika nilainya tidak cocok, AWS tolak permintaan tersebut.
Lindungi dari potensi serangan replay

Dalam kebanyakan kasus, permintaan harus mencapai AWS dalam waktu lima menit dari cap waktu dalam permintaan. Kalau tidak, AWS menolak permintaan itu.

AWS SigV4 dapat diekspresikan dalam header HTTP Otorisasi atau sebagai string kueri di. URL Untuk informasi selengkapnya, lihat Metode otentikasi.

Sumber daya tambahan

Untuk informasi selengkapnya tentang proses penandatanganan SiGv4 untuk berbagai layanan, lihat. Minta contoh tanda tangan
Untuk mengonfigurasi kredensional untuk akses terprogram AWS CLI, lihat Otentikasi dan akses kredensional di Panduan Pengguna Antarmuka Baris AWS Perintah.
AWS SDKsTermasuk kode sumber GitHub untuk menandatangani AWS API permintaan. Untuk contoh kode, lihatContoh proyek dalam AWS repositori sampel.
- AWS SDK for .NET — AWS4Signer.cs
- AWS SDK for C++ — AWSAuthV4Signer.cpp
- AWS SDK for Go — v4.go
- AWS SDK for Java — BaseAws4Signer.java
- AWS SDK for JavaScript - v4.js
- AWS SDK for PHP — SignatureV4.php
- AWS SDK for Python (Boto) - signers.py
- AWS SDK for Ruby — penandatangan.rb

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Layanan yang bekerja dengan IAM

elemen permintaan SiGv4