本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
License Manager 可以密碼編譯方式簽署 ISV 發出的授權,或是透過 AWS Marketplace 代表 ISV 發出的授權。簽署可讓廠商驗證應用程式本身內授權的完整性和原始伺服器,即使在離線環境中也是如此。
若要簽署授權, License Manager 會使用 AWS KMS key 屬於 ISV 且受保護 in AWS Key Management Service (AWS KMS) 的非對稱。此客戶受管 CMK 包含數學相關的公有金鑰和私有金鑰對。當使用者請求授權時, License Manager 會產生列出授權權限的 JSON 物件,並使用私有金鑰簽署此物件。簽章和純文字 JSON 物件會傳回給使用者。任何出現這些物件的一方都可以使用公有金鑰來驗證授權的文字尚未變更,以及授權是由私有金鑰的擁有者簽署。金鑰對的私有部分永遠不會離開 AWS KMS。如需 中非對稱密碼編譯的詳細資訊 AWS KMS,請參閱使用對稱和非對稱金鑰。
注意
License Manager 會在 AWS KMS Sign簽署和驗證授權時呼叫 和 Verify API 操作。CMK 必須具有 SIGN_VERIFY 的金鑰用量值,才能讓這些操作使用。此各種 CMK 無法用於加密和解密。
下列工作流程說明密碼編譯簽署授權的發行:
-
在 AWS KMS 主控台、API 或 SDK 中,授權管理員會建立非對稱客戶受管 CMK。CMK 必須具有使用簽署和驗證的金鑰,並支援 RSASSA-PSS SHA-256 簽署演算法。如需詳細資訊,請參閱建立非對稱 CMKs和如何選擇 CMK 組態。
-
在 License Manager 中,授權管理員會建立包含 AWS KMS ARN 或 ID 的耗用組態。組態可以指定借用和佈建選項之一或兩者。如需詳細資訊,請參閱建立賣方發行的授權區塊。
-
最終使用者使用
CheckoutLicense或CheckoutBorrowLicenseAPI 操作取得授權。只有已設定借用的授權才允許CheckoutBorrowLicense此操作。它會傳回數位簽章做為回應的一部分,以及 JSON 物件列出權限。純文字 JSON 類似以下內容:{ "entitlementsAllowed":[ { "name":"EntitlementCount", "unit":"Count", "value":"1" } ], "expiration":"2020-12-01T00:47:35", "issuedAt":"2020-11-30T23:47:35", "licenseArn":"arn:aws:license-manager::123456789012:license:l-6585590917ad46858328ff02dEXAMPLE", "licenseConsumptionToken":"306eb19afd354ba79c3687b9bEXAMPLE", "nodeId":"100.20.15.10", "checkoutMetadata":{ "Mac":"ABCDEFGHI" } }
