License Manager でのライセンスの暗号化署名

License Manager は、 ISVまたは によって発行されたライセンスに暗号で署名できます。 AWS Marketplace の代わりに を使用しますISV。署名により、ベンダーは、オフライン環境であっても、アプリケーション内でライセンスの整合性と出所を検証できます。

ライセンスに署名するために、License Manegerは非対称 AWS KMS key に属ISVし、 で保護されている AWS Key Management Service (AWS KMS）。 このカスタマーマネージド型は、数学的に関連するパブリックキーとプライベートキーのペアCMKで構成されます。ユーザーがライセンスをリクエストすると、License Manager はライセンスの使用権限を一覧表示するJSONオブジェクトを生成し、このオブジェクトをプライベートキーで署名します。署名とプレーンテキストJSONオブジェクトがユーザーに返されます。これらのオブジェクトを提示した当事者は、公開キーを使用して、ライセンスのテキストが変更されていないこと、およびライセンスがプライベートキーの所有者によって署名されていることを検証できます。キーペアのプライベートパートは を離れません AWS KMS。 での非対称暗号化の詳細については、「」を参照してください。 AWS KMS「対称キーと非対称キーの使用」を参照してください。

注記

License Manager が を呼び出す AWS KMS Sign ライセンスに署名して検証するときの および VerifyAPIオペレーション。これらのオペレーションで使用するには、 のキー使用値が SIGN_VERIFY CMKである必要があります。このさまざまな CMKは、暗号化と復号には使用できません。

以下のワークフローでは、暗号化されたライセンスの発行について説明します。

1. 左 AWS KMS コンソール、API、または ではSDK、ライセンス管理者が非対称カスタマーマネージド を作成しますCMK。には、署名と検証のキーの使用方法があり、RSASSA-PSS SHA-256 署名アルゴリズムをサポートしているCMK必要があります。詳細については、「非対称 の作成CMKs」およびCMK「設定 の選択方法」を参照してください。

2. License Manager では、ライセンス管理者は を含む消費設定を作成します。 AWS KMS ARN または ID。設定では、BorrowオプションとProvisionalオプションのいずれかまたは両方を指定できます。詳細については、「出品者が発行したライセンスのブロックを作成する」を参照してください。

3. エンドユーザーは、 CheckoutLicenseまたは CheckoutBorrowLicenseAPIオペレーションを使用してライセンスを取得します。CheckoutBorrowLicense操作は、Borrowが設定されているライセンスでのみ可能です。レスポンスの一部として、JSONオブジェクトリストの使用権限とともにデジタル署名を返します。プレーンテキストは次のJSONようになります。

   {
      "entitlementsAllowed":[
         {
            "name":"EntitlementCount",
            "unit":"Count",
            "value":"1"
         }
      ],
      "expiration":"2020-12-01T00:47:35",
      "issuedAt":"2020-11-30T23:47:35",
      "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE",
      "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE",
      "nodeId":"100.20.15.10",
      "checkoutMetadata":{
         "Mac":"ABCDEFGHI"
      }
   }