Assinatura criptográfica de licenças

O License Manager pode assinar criptograficamente licenças emitidas por um ISV ou AWS Marketplace em nome de um ISV. A assinatura permite que os fornecedores validem a integridade e a origem de uma licença dentro do próprio aplicativo, mesmo em um ambiente offline.

Para assinar licenças, o License Manager usa uma assimétrica AWS KMS key pertencente a um ISV e protegida em (). AWS Key Management Service AWS KMS Essa CMK gerenciada pelo cliente consiste em um par de chave pública e chave privada relacionadas matematicamente. Quando um usuário solicita uma licença, o License Manager gera um objeto JSON listando os direitos da licença e assina o objeto com a chave privada. A assinatura e o objeto JSON de texto simples são retornados ao usuário. Qualquer pessoa apresentada com esses objetos pode usar a chave pública para validar se o texto da licença não foi alterado e se a licença foi assinada pelo proprietário da chave privada. A parte privada do par de chaves nunca sai AWS KMS. Para obter mais informações sobre criptografia assimétrica em AWS KMS, consulte Usando chaves simétricas e assimétricas.

nota

O License Manager chama as operações AWS KMS Signe a VerifyAPI ao assinar e verificar licenças. A CMK deve ter um valor de uso de chave de SIGN_VERIFY para ser usada por essas operações. Essa variedade de CMK não pode ser usada para criptografia e descriptografia.

O fluxo de trabalho a seguir descreve a emissão de licenças assinadas criptograficamente:

No AWS KMS console, na API ou no SDK, o administrador da licença cria uma CMK assimétrica gerenciada pelo cliente. A CMK deve usar um sinal para a chave, verificar e dar suporte ao algoritmo de assinatura RSASSA-PSS SHA-256. Para obter mais informações, consulte Criar CMKs assimétricas e Como escolher a configuração de CMK.
No License Manager, o administrador da licença cria uma configuração de consumo que inclui um AWS KMS ARN ou ID. A configuração pode especificar uma ou ambas as opções de Empréstimo e provisória. Para obter mais informações, consulte Criar um bloco de licenças emitidas pelo vendedor.

Um usuário final obtém a licença usando a operação de API CheckoutLicense ou CheckoutBorrowLicense. A operação CheckoutBorrowLicense é permitida somente em licenças com o Borrow configurado. Ela retorna uma assinatura digital como parte de sua resposta junto com o objeto JSON listando os direitos. O texto simples do JSON é semelhante ao seguinte:


{
   "entitlementsAllowed":[
      {
         "name":"EntitlementCount",
         "unit":"Count",
         "value":"1"
      }
   ],
   "expiration":"2020-12-01T00:47:35",
   "issuedAt":"2020-11-30T23:47:35",
   "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE",
   "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE",
   "nodeId":"100.20.15.10",
   "checkoutMetadata":{
      "Mac":"ABCDEFGHI"
   }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS políticas gerenciadas

Validação de conformidade