Opção 1: verificar o documento de identidade da instância usando a assinatura PKCS7 Opção 2: verificar o documento de identidade da instância usando a assinatura codificada em base64 Opção 3: verificar o documento de identidade da instância usando a assinatura RSA-2048

Verifique o documento de identidade de uma instância do Amazon EC2

Se você pretende usar o conteúdo do documento de identidade da instância para um propósito importante, deve verificar seu conteúdo e autenticidade antes de usá-lo.

O documento de identidade da instância de texto simples é acompanhado por três assinaturas hash e criptografadas. É possível usar essas assinaturas para verificar a origem e a autenticidade do documento de identidade da instância e as informações incluídas nele. São fornecidas as seguintes assinaturas:

Assinatura codificada em base64 – trata-se de um hash SHA256 codificado em base64 do documento de identidade da instância que é criptografado usando um par de chaves RSA.
Assinatura PKCS7 – trata-se de um hash SHA1 do documento de identidade da instância que é criptografado usando um par de chaves DSA.
Assinatura RSA-2048 – trata-se de um hash SHA256 do documento de identidade da instância que é criptografado usando um par de chaves RSA-2048.

Cada assinatura está disponível em um endpoint diferente nos metadados da instância. É possível usar qualquer uma dessas assinaturas dependendo dos requisitos de hash e criptografia. Para verificar as assinaturas, é necessário usar o certificado público da AWS correspondente.

Opções

Opção 1: verificar o documento de identidade da instância usando a assinatura PKCS7

Este tópico explica como verificar o documento de identidade da instância usando a assinatura PKCS7 e o certificado público DSA da AWS.

Para verificar o documento de identidade da instância usando a assinatura PKCS7 e o certificado público AWS DSA

Conecte-se à instância.

Recupere a assinatura PKCS7 dos metadados da instância e adicione-a a um arquivo chamado pkcs7 junto com o cabeçalho e rodapé necessários. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Encontre o certificado público DSA da sua região em Certificados públicos da AWS para assinaturas de documento de identidade da instância e adicione o conteúdo a um novo arquivo chamado certificate.
Use o comando OpenSSL smime para verificar a assinatura. Inclua a opção -verify para indicar que a assinatura precisa ser verificada, e a opção -noverify para indicar que o certificado não precisa ser verificado.
```
$ openssl smime -verify -in pkcs7 -inform PEM -certfile certificate -noverify | tee document
```
Se a assinatura for válida, a mensagem Verification successful será exibida.

O comando também grava o conteúdo do documento de identidade da instância em um novo arquivo denominado document. É possível comparar o conteúdo do documento de identidade da instância dos metadados da instância com o conteúdo desse arquivo usando os comandos a seguir.
```
$ openssl dgst -sha256 < document
```
```
$ curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document | openssl dgst -sha256
```
Se não for possível verificar a assinatura, entre em contato com o AWS Support.

Pré-requisitos

Este procedimento exige a classe System.Security Microsoft .NET Core. Para adicionar a classe à sessão do PowerShell, execute o comando a seguir.


PS C:\> Add-Type -AssemblyName System.Security

nota

O comando adiciona a classe somente à sessão atual do PowerShell. Se você iniciar uma nova sessão, deverá executar o comando novamente.

Para verificar o documento de identidade da instância usando a assinatura PKCS7 e o certificado público AWS DSA

Conecte-se à instância.

Recupere a assinatura PKCS7 dos metadados da instância, converta-a em uma matriz de bytes e adicione-a a uma variável chamada $Signature. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Recupere o documento de identidade da instância de texto simples dos metadados da instância, converta-o em uma matriz de bytes e adicione-o a uma variável chamada $Document. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Encontre o certificado público DSA da sua região em Certificados públicos da AWS para assinaturas de documento de identidade da instância e adicione o conteúdo a um novo arquivo chamado certificate.pem.

Extraia o certificado do arquivo de certificado e armazene-o em uma variável chamada $Store.


PS C:\> $Store = [Security.Cryptography.X509Certificates.X509Certificate2Collection]::new([Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Path certificate.pem)))

Verifique a assinatura.
```
PS C:\> $SignatureDocument = [Security.Cryptography.Pkcs.SignedCms]::new()
```
```
PS C:\> $SignatureDocument.Decode($Signature)
```
```
PS C:\> $SignatureDocument.CheckSignature($Store, $true)
```
Se a assinatura for válida, o comando não retornará nenhuma saída. Se não for possível verificar a assinatura, o comando retornará Exception calling "CheckSignature" with "2" argument(s): "Cannot find the original signer. Se não for possível verificar a assinatura, entre em contato com o AWS Support.
Valide o conteúdo do documento de identidade da instância.
```
PS C:\> [Linq.Enumerable]::SequenceEqual($SignatureDocument.ContentInfo.Content, $Document)
```
Se o conteúdo do documento de identidade da instância for válido, o comando retornará True. Se o documento de identidade da instância não puder ser validado, entre em contato com o AWS Support.

Opção 2: verificar o documento de identidade da instância usando a assinatura codificada em base64

Este tópico explica como verificar o documento de identidade da instância usando a assinatura codificada em base64 e o certificado público RSA da AWS.

Para validar o documento de identidade da instância usando a assinatura codificada em base64 e do certificado público RSA da AWS

Conecte-se à instância.

Recupere a assinatura codificada em base64 dos metadados da instância, converta-a em binário e adicione-o a um arquivo chamado signature. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Recupere o documento de identidade da instância de texto simples dos metadados da instância e adicione-o a um arquivo chamado document. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Encontre o certificado público RSA para a sua região em Certificados públicos da AWS para assinaturas de documento de identidade da instância e adicione o conteúdo a um novo arquivo denominado certificate.
Extraia a chave pública do certificado público RSS da AWS e salve-a em um arquivo denominado key.
```
$ openssl x509 -pubkey -noout -in certificate >> key
```
Use o comando OpenSSL dgst para verificar o documento de identidade da instância.
```
$ openssl dgst -sha256 -verify key -signature signature document
```
Se a assinatura for válida, a mensagem Verification successful será exibida.

O comando também grava o conteúdo do documento de identidade da instância em um novo arquivo denominado document. É possível comparar o conteúdo do documento de identidade da instância dos metadados da instância com o conteúdo desse arquivo usando os comandos a seguir.
```
$ openssl dgst -sha256 < document
```
```
$ curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document | openssl dgst -sha256
```
Se não for possível verificar a assinatura, entre em contato com o AWS Support.

Para validar o documento de identidade da instância usando a assinatura codificada em base64 e do certificado público RSA da AWS

Conecte-se à instância.

Recupere a assinatura codificada em base64 dos metadados da instância, converta-a em uma matriz de bytes e adicione-a à variável chamada $Signature. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Encontre o certificado público RSA para a sua região em Certificados públicos da AWS para assinaturas de documento de identidade da instância e adicione o conteúdo a um novo arquivo denominado certificate.pem.
Verifique o documento de identidade da instância.
```
PS C:\> [Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Path certificate.pem)).PublicKey.Key.VerifyData($Document, 'SHA256', $Signature)
```
Se a assinatura for válida, o comando retornará True. Se não for possível verificar a assinatura, entre em contato com o AWS Support.

Opção 3: verificar o documento de identidade da instância usando a assinatura RSA-2048

Este tópico explica como verificar o documento de identidade da instância usando a assinatura RSA-2048 e o certificado público RSA-2048 da AWS.

Para verificar o documento de identidade da instância usando a assinatura RSA-2048 e o certificado público RSA-2048 da AWS

Conecte-se à instância.

Recupere a assinatura RSA-2048 dos metadados da instância e adicione-a a um novo arquivo chamado rsa2048 junto com o cabeçalho e rodapé necessários. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Encontre o certificado público RSA-2048 para a sua região em Certificados públicos da AWS para assinaturas de documento de identidade da instância e adicione o conteúdo a um novo arquivo denominado certificate.
Use o comando OpenSSL smime para verificar a assinatura. Inclua a opção -verify para indicar que a assinatura precisa ser verificada, e a opção -noverify para indicar que o certificado não precisa ser verificado.
```
$ openssl smime -verify -in rsa2048 -inform PEM -certfile certificate -noverify | tee document
```
Se a assinatura for válida, a mensagem Verification successful será exibida. Se não for possível verificar a assinatura, entre em contato com o AWS Support.

Pré-requisitos

Este procedimento exige a classe System.Security Microsoft .NET Core. Para adicionar a classe à sessão do PowerShell, execute o comando a seguir.


PS C:\> Add-Type -AssemblyName System.Security

nota

O comando adiciona a classe somente à sessão atual do PowerShell. Se você iniciar uma nova sessão, deverá executar o comando novamente.

Para verificar o documento de identidade da instância usando a assinatura RSA-2048 e o certificado público RSA-2048 da AWS

Conecte-se à instância.

Recupere a assinatura RSA-2048 dos metadados da instância, converta-a em uma matriz de bytes e adicione-a a uma variável chamada $Signature. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

Encontre o certificado público RSA-2048 para a sua região em Certificados públicos da AWS para assinaturas de documento de identidade da instância e adicione o conteúdo a um novo arquivo denominado certificate.pem.

Extraia o certificado do arquivo de certificado e armazene-o em uma variável chamada $Store.


PS C:\> $Store = [Security.Cryptography.X509Certificates.X509Certificate2Collection]::new([Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Path certificate.pem)))

Verifique a assinatura.
```
PS C:\> $SignatureDocument = [Security.Cryptography.Pkcs.SignedCms]::new()
```
```
PS C:\> $SignatureDocument.Decode($Signature)
```
```
PS C:\> $SignatureDocument.CheckSignature($Store, $true)
```
Se a assinatura for válida, o comando não retornará nenhuma saída. Se não for possível verificar a assinatura, o comando retornará Exception calling "CheckSignature" with "2" argument(s): "Cannot find the original signer. Se não for possível verificar a assinatura, entre em contato com o AWS Support.
Valide o conteúdo do documento de identidade da instância.
```
PS C:\> [Linq.Enumerable]::SequenceEqual($SignatureDocument.ContentInfo.Content, $Document)
```
Se o conteúdo do documento de identidade da instância for válido, o comando retornará True. Se o documento de identidade da instância não puder ser validado, entre em contato com o AWS Support.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Recuperar o documento de identidade da instância

Certificados públicos