Usar a assinatura codificada em base64 para verificar o documento de identidade da instância - Amazon Elastic Compute Cloud

Usar a assinatura codificada em base64 para verificar o documento de identidade da instância

Este tópico explica como verificar o documento de identidade da instância usando a assinatura codificada em base64 e o certificado público RSA da AWS.

Para validar o documento de identidade da instância usando a assinatura codificada em base64 e do certificado público RSA da AWS

  1. Conecte-se à instância.

  2. Recupere a assinatura codificada em base64 dos metadados da instância, converta-a em binário e adicione-o a um arquivo chamado signature. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

    IMDSv2
    $ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/signature | base64 -d >> signature
    IMDSv1
    $ curl -s http://169.254.169.254/latest/dynamic/instance-identity/signature | base64 -d >> signature

  3. Recupere o documento de identidade da instância de texto simples dos metadados da instância e adicione-o a um arquivo chamado document. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

    IMDSv2
    $ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document >> document
    IMDSv1
    $ curl -s http://169.254.169.254/latest/dynamic/instance-identity/document >> document

  4. Encontre o certificado público RSA para a sua região em Certificados públicos da AWS e adicione o conteúdo a um novo arquivo denominado certificate.

  5. Extraia a chave pública do certificado público RSS da AWS e salve-a em um arquivo denominado key. 

    $ openssl x509 -pubkey -noout -in certificate >> key

  6. Use o comando OpenSSL dgst para verificar o documento de identidade da instância.

    $ openssl dgst -sha256 -verify key -signature signature document

    Se a assinatura for válida, a mensagem Verification successful será exibida.

    O comando também grava o conteúdo do documento de identidade da instância em um novo arquivo denominado document. É possível comparar o conteúdo do documento de identidade da instância dos metadados da instância com o conteúdo desse arquivo usando os comandos a seguir.

    $ openssl dgst -sha256 < document
    $ curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/dynamic/instance-identity/document | openssl dgst -sha256

    Se não for possível verificar a assinatura, entre em contato com o AWS Support.

Para validar o documento de identidade da instância usando a assinatura codificada em base64 e do certificado público RSA da AWS

  1. Conecte-se à instância.

  2. Recupere a assinatura codificada em base64 dos metadados da instância, converta-a em uma matriz de bytes e adicione-a à variável chamada $Signature. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

    IMDSv2
    PS C:\> [string]$token = (Invoke-WebRequest -Method Put -Headers @{'X-aws-ec2-metadata-token-ttl-seconds' = '21600'} http://169.254.169.254/latest/api/token).Content
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/signature).Content)
    IMDSv1
    PS C:\> $Signature = [Convert]::FromBase64String((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/signature).Content)

  3. Recupere o documento de identidade da instância de texto simples dos metadados da instância, converta-o em uma matriz de bytes e adicione-o a uma variável chamada $Document. Use um dos comandos a seguir dependendo da versão do IMDS usada pela instância.

    IMDSv2
    PS C:\> $Document = [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest -Headers @{'X-aws-ec2-metadata-token' = $Token} http://169.254.169.254/latest/dynamic/instance-identity/document).Content)
    IMDSv1
    PS C:\> $Document =  [Text.Encoding]::UTF8.GetBytes((Invoke-WebRequest http://169.254.169.254/latest/dynamic/instance-identity/document).Content)

  4. Encontre o certificado público RSA para a sua região em Certificados públicos da AWS e adicione o conteúdo a um novo arquivo denominado certificate.pem.

  5. Verifique o documento de identidade da instância.

    PS C:\> [Security.Cryptography.X509Certificates.X509Certificate2]::new((Resolve-Path certificate.pem)).PublicKey.Key.VerifyData($Document, 'SHA256', $Signature)

    Se a assinatura for válida, o comando retornará True. Se não for possível verificar a assinatura, entre em contato com o AWS Support.