适用于 API 请求的 Amazon 签名版本 4 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 API 请求的 Amazon 签名版本 4

重要

如果您使用 Amazon SDK(请参阅示例代码和库)或 Amazon Command Line Interface(Amazon CLI)工具向 Amazon 发送 API 请求,则可以跳过签名过程,因为 SDK 和 CLI 客户端会使用您提供的访问密钥来验证您的请求。除非您有充分的理由不这样做,否则我们建议您始终使用 SDK 或 CLI。

在支持多个签名版本的区域中,手动签名请求意味着您必须指定要使用的签名版本。当您向多区域访问点提供请求时,SDK 和 CLI 会自动切换为使用签名版本 4A,而无需进行其他配置。

您在请求中发送的身份验证信息必须包含签名。Amazon签名版本 4(SigV4)是将身份验证信息添加到 Amazon API 请求的 Amazon 签名协议。

您无法使用秘密访问密钥对 API 请求进行签名。相反,您可以使用 Sigv4 签名过程。签名请求涉及:

  1. 根据请求详细信息创建规范请求。

  2. 使用 Amazon 凭证计算签名。

  3. 将此签名作为授权标头添加到请求。

然后 Amazon 复制此过程并验证签名,相应地授予或拒绝访问权限。

Symmetric SigV4 要求您在特定日期派生一个密钥,该密钥的作用域限定为单个 Amazon 区域的单个 Amazon 服务。这让各区域的密钥和计算得出的签名均会有所不同,也就是说,您必须知道签名要发送到哪个区域。

非对称签名版本 4(SigV4a)是支持使用新算法进行签名的扩展版本,可以生成可在多个 Amazon 区域验证的单个签名。借助 SigV4a,您可以签署多个区域的请求,在多个区域之间实现无缝路由和失效转移。在使用 Amazon SDK 或 Amazon CLI 来调用需要多区域签名的功能时,签名类型会自动改为使用 SigV4a。有关详细信息,请参阅Amazon SigV4a 的工作原理

Amazon SigV4 工作原理

以下步骤介绍了使用 SigV4 计算签名的一般过程:

  1. 待签字符串取决于请求类型。例如,使用 HTTP 授权标头或查询参数进行身份验证时,可以使用请求元素组合来创建待签字符串。对于 HTTP POST 请求,请求中的 POST 策略是您签名的字符串。

  2. 签名密钥是一系列计算,每个步骤的结果都输入到下一个步骤中。最后一步是签名密钥。

  3. Amazon 服务收到经身份验证请求时,其会使用请求中包含的身份验证信息重新创建签名。如果签名匹配,则服务将处理该请求。否则,服务将拒绝该请求。

有关更多信息,请参阅 Amazon API 请求签名的元素

Amazon SigV4a 的工作原理

SigV4a 使用基于公私密钥加密的非对称签名。SigV4a 的作用域凭证派生过程与 SigV4a 类似,唯一差异在于 SigV4a 使用相同密钥对所有请求进行签名,而无需根据日期、服务和区域派生不同的签名密钥。椭圆曲线数字签名算法(ECDSA)密钥对可由现有的 Amazon 秘密访问密钥派生而来。

此系统使用非对称加密来验证多区域签名,因此 Amazon 只需要存储您的公有密钥即可。公有密钥不具私密性,不能用于签署请求。多区域 API 请求必须使用非对称签名,例如 Amazon S3 多区域接入点。

以下步骤介绍了使用 SigV4a 计算签名的一般过程:

  1. 待签字符串取决于请求类型。例如,使用 HTTP 授权标头或查询参数进行身份验证时,可以使用请求元素组合来创建待签字符串。对于 HTTP POST 请求,请求中的 POST 策略是您签名的字符串。

  2. 签名密钥通过一系列计算从 Amazon 秘密访问密钥派生而来,每个步骤的结果都输入到下一个步骤中。最后一步将生成密钥对。

  3. 当 Amazon 服务收到使用 SigV4a 签名的请求时,Amazon 仅使用密钥对的公共部分来验证签名。如果签名有效,则请求将经过身份验证,再由服务加以处理。系统将拒绝签名无效的请求。

有关用于多区域 API 请求的 SigV4a 的更多信息,请参阅 GitHub 上的 sigv4a-signing-examples 项目。

何时签署请求

编写自定义代码来将 API 请求发送给 Amazon 时,必须包含用于签署请求的代码。您可能需要编写自定义代码,原因如下:

  • 您正在使用的编程语言没有对应的 Amazon 开发工具包。

  • 您需要完全控制将请求发送给 Amazon 的方式。

API 请求使用 Amazon SigV4 验证访问权限,而 Amazon SDK 和 Amazon CLI 使用您提供的访问密钥对您的请求进行身份验证。有关使用 Amazon SDK 和 Amazon CLI 进行身份验证的更多信息,请参阅 其他资源

为什么签署请求

签名过程通过以下方式帮助保护请求:

  • 验证请求者的身份

    经过身份验证的请求需要您使用访问密钥(访问密钥 ID、秘密访问密钥)创建的签名。如果您使用的是临时安全凭证,则签名计算还需要安全令牌。有关更多信息,请参阅 Amazon 安全凭证以编程方式访问

  • 保护传输中的数据

    为了防止传输时请求被篡改,一些请求元素将用于计算请求的哈希(摘要),得到的哈希值将包括在请求中。在 Amazon Web Services 服务 收到请求时,它将使用相同信息计算哈希,并将其与您的请求中包括的哈希值进行匹配。如果值不匹配,Amazon 将拒绝请求。

  • 防止潜在的反演攻击

    在大多数情况下,请求必须在请求中的时间戳的 5 分钟内到达 Amazon。否则,Amazon 将拒绝该请求。

Amazon Sigv4 可以在 HTTP 授权标头中表示,也可以作为 URL 中的查询字符串表示。有关更多信息,请参阅 身份验证方法

其他资源