署名バージョン 4 の署名プロセス

重要

AWS SDK、AWS Command Line Interface (AWS CLI)、およびその他の AWS ツールは、ツールの設定時に指定するアクセスキーを使用して API リクエストに署名します。これらのツールを使うときに、API リクエストへの署名方法を学ぶ必要はありません。次のドキュメントは API リクエストへの署名方法を説明しますが、これが役立つのは AWSAPI リクエストを送信および署名するために独自のコードを記述している場合のみです。独自のコードを記述するのではなく、AWS SDK または他の AWS ツールを使用して API リクエストを送信することをお勧めします。

署名バージョン 4 (SigV4) は、HTTP で送信される AWS API リクエストに認証情報を追加するプロセスです。セキュリティのため、AWS へのほとんどのリクエストはアクセスキーで署名する必要があります。アクセスキーは、アクセスキー ID とシークレットアクセスキーで構成されます。これは通常、セキュリティ認証情報と呼ばれます。アカウントの認証情報を取得する方法の詳細については、「AWS 認証情報の理解と取得」を参照してください。

署名バージョン 4 の仕組み

1. 正規リクエストを作成します。

2. 正規リクエストと追加のメタデータを使用して、署名の文字列を作成します。

3. AWS シークレットアクセスキーから署名キーを取得します。次に、署名キーと、前の手順で準備した文字列を使用して、署名を作成します。

4. 作成した署名をヘッダーの HTTP リクエストに追加するか、クエリ文字列パラメータとして追加します。

AWS サービスがリクエストを受信すると、リクエストで送信した署名を計算したときと同じステップが実行されます。続いて AWS は、計算された署名とそのリクエストで送信した署名を比較します。署名が一致すると、リクエストが処理されます。署名が一致しない場合、リクエストは拒否されます。

詳細については、以下のリソースを参照してください。

• 署名プロセスを開始するには、「署名バージョン 4 を使用した AWS リクエストへの署名」を参照してください。

• 署名付きリクエストの例については、「完全な Signature Version 4 署名プロセスの例 (Python)」を参照してください。

• 署名バージョン 4 に関する質問がある場合は、AWS Identity and Access Management フォーラムに質問を投稿してください。