أمن أبي خدمات ويب أدمون - دمى

وهنا سؤال واضح عند التعامل مع وكلاء طرف ثالث: إذا كانت هذه الأدوات تعمل نيابة عنك، كيف تعرف خدمات أمازون ويب (أوس) أن الشخص الذي يتصرف بالنيابة عنهم هو في الواقع أنت؟ وبعبارة أخرى، كيف يمكن ل أوس المصادقة على هويتك للتأكد من أن الأوامر التي يتلقاها منك؟

في الواقع، نفس السؤال صالح حتى لو كنت تتفاعل مع أوس أبي مباشرة. كيف يمكن أوس التحقق من هويتك للتأكد من أنه ينفذ الأوامر فقط بالنسبة لك؟

هناك طريقة واحدة، بالطبع، تتمثل في تضمين اسم المستخدم وكلمة المرور لحسابك في مكالمات أبي. على الرغم من بعض مقدمي سحابة تأخذ هذا النهج، والأمازون لا.

بدلا من الاعتماد على اسم المستخدم وكلمة المرور، فإنه يعتمد على اثنين من المعرفات الأخرى لمصادقة المكالمات خدمة أبي: مفتاح الوصول ومفتاح الوصول السري. ويستخدم هذه المفاتيح في مكالمات الخدمة لتنفيذ الأمن بطريقة أكثر أمانا من استخدام اسم المستخدم وكلمة المرور فقط.

فكيف يعمل؟ عند الاشتراك للحصول على حساب مع أوس، لديك الفرصة لإنشاء مفتاح الوصول ولها مفتاح الوصول السري أرسلت لك. كل واحد هو سلسلة طويلة من الشخصيات العشوائية، ومفتاح الوصول السري هو أطول من اثنين. عند تحميل مفتاح الوصول السري، يجب تخزينه في مكان آمن جدا لأنه هو المفتاح (آسف - سوء التورية) لتنفيذ المكالمات خدمة آمنة.

بعد القيام بذلك، كل من أنت والأمازون لديهم نسخة من مفتاح الوصول ومفتاح الوصول السري. الاحتفاظ نسخة من مفتاح الوصول السري أمر بالغ الأهمية لأنه يستخدم لتشفير المعلومات المرسلة ذهابا وإيابا بينك وبين أوس، وإذا لم يكن لديك مفتاح الوصول السري، لا يمكنك تنفيذ أي مكالمات الخدمة على أوس.

الطريقة التي يستخدم بها المفتاحان بسيطة من الناحية النظرية، على الرغم من أنها صعبة نوعا ما في التفاصيل.

في الأساس، لكل مكالمة خدمة تريد تنفيذها، تقوم أنت (أو أداة تعمل نيابة عنك) بما يلي:

1. إنشاء حمولة مكالمة خدمة.

   هذه هي البيانات التي تحتاج إلى إرسالها إلى أوس. قد يكون كائن تريد تخزينه في S3 أو معرف الصورة للصورة التي تريد تشغيلها. (عليك أيضا إرفاق أجزاء أخرى من المعلومات إلى الحمولة، ولكن لأنها تختلف وفقا لخصائص مكالمة الخدمة، أنها ليست مدرجة هنا.واحد من البيانات هو الوقت الحالي.)

2. تشفير الحمولة باستخدام مفتاح الوصول السري.

   القيام بذلك يضمن أن لا أحد يستطيع فحص الحمولة واكتشاف ما في ذلك.

3. التوقيع الرقمي على الحمولة المشفرة عن طريق إضافة مفتاح الوصول السري إلى الحمولة النافعة المشفرة وإجراء عملية توقيع رقمي باستخدام مفتاح النفاذ السري.

   مفاتيح الوصول السري أطول وأكثر عشوائية من كلمات مرور المستخدم النموذجية. ومفتاح الوصول السري الطويل يجعل التشفير يؤديها مع أنها أكثر أمنا مما لو كان يتم تنفيذها مع كلمة مرور المستخدم نموذجية.

4. إرسال إجمالي الحمولة المشفرة، جنبا إلى جنب مع مفتاح الوصول الخاص بك، إلى أوس عبر مكالمة خدمة.

   يستخدم أمازون مفتاح الوصول للبحث عن مفتاح الوصول السري الخاص بك، والذي يستخدم لفك تشفير الحمولة. إذا كانت الحمولة المفرغة تمثل نصا يمكن قراءته يمكن تنفيذه، يقوم أوس بتنفيذ مكالمة الخدمة. وإلا، فإنه يخلص إلى أن هناك شيئا خطأ في استدعاء الخدمة (ربما أن كان يسمى من قبل ممثل حاقدة) ولا تنفيذ مكالمة الخدمة.

بالإضافة إلى التشفير الذي تم وصفه للتو، يوجد لدى أوس طريقتين أخريين تستخدمهما لضمان شرعية استدعاء الخدمة:

• الأول يستند إلى معلومات التاريخ المتضمنة في الحمولة النافعة لاستدعاء الخدمة، والتي يستخدمها لتحديد ما إذا كان الوقت المرتبط بإجراء استدعاء الخدمة مناسب؛ إذا كان التاريخ في استدعاء الخدمة يختلف كثيرا عما ينبغي أن يكون عليه (قبل ذلك بكثير أو في وقت أبكر من الوقت الحالي، وبعبارة أخرى)، يخلص أوس إلى أنها ليست دعوة خدمة مشروعة وتجاهلها.

• يتضمن الإجراء الأمني ​​الإضافي الثاني المجموع الاختباري الذي تقوم بحسابه للحمولة. ( المجموع الاختباري هو رقم يمثل محتوى الرسالة.) يحسب أوس المجموع الاختباري للحمولة؛ إذا كان المجموع الاختباري لا يتفق مع يدكم، فإنه لا يسمح استدعاء الخدمة وعدم تنفيذها.

  هذا النهج الاختباري يضمن أن لا أحد يعثر مع محتويات رسالة ويمنع ممثل حاقدة من اعتراض مكالمة خدمة المشروعة وتغييره لأداء عمل غير مقبول. إذا كان شخص ما يعثر على الرسالة، عندما يحسب أوس المجموع الاختباري، هذا المجموع الاختباري لم يعد يطابق واحد المدرجة في الرسالة، و أوس ترفض تنفيذ مكالمة الخدمة.

إذا كنت تستخدم، مثل معظم مستخدمي أوس، طريقة بروكسي للتفاعل مع أوس - وحدة تحكم إدارة أوس أو مكتبة لغة أو أداة تابعة لجهة خارجية - يلزمك توفير مفتاح الدخول ومفتاح الوصول السري إلى الخادم الوكيل. عندما يقوم الوكيل بتنفيذ مكالمات خدمة أوس نيابة عنك، فإنه يتضمن مفتاح الوصول في المكالمة واستخدام مفتاح الوصول السري لتنفيذ تشفير الحمولة النافعة.

بسبب الدور الحاسم الذي تؤديه هذه المفاتيح في أوس، يجب أن تشاركها فقط مع الكيانات التي تثق بها. إذا كنت ترغب في تجربة أداة جديدة من جهة خارجية وكنت لا تعرف الكثير عن الشركة، قم بإعداد حساب اختبار أوس للمحاكمة بدلا من استخدام بيانات اعتماد حساب أوس الإنتاج.

وبهذه الطريقة، إذا قررت عدم المضي قدما مع الأداة، يمكنك إسقاطه، وإنهاء حساب أوس اختبار، والمضي قدما، غير مدرك حول الثغرات الأمنية المحتملة في حسابات الإنتاج الرئيسية الخاصة بك. وبطبيعة الحال، يمكنك دائما إنشاء مفاتيح وصول جديدة ومفتاح الوصول السري، ولكن باستخدام مفاتيح الإنتاج الخاصة بك للاختبارات ثم تغيير مفاتيح يخلق الكثير من العمل، لأنك تحتاج إلى تحديث كل مكان أن يشير إلى المفاتيح الموجودة لديك.

إذا كنت مثل العديد من المستخدمين الآخرين أوس، عليك استخدام عدد من الأدوات والمكتبات، والعودة إليها لتحديث المفاتيح الخاصة بك هو الألم. من الأفضل استخدام الحسابات غير المنتجة لاختبار أدوات جديدة.