亚马逊X509证书调用AWS服务

最新推荐文章于 2024-05-14 10:46:39 发布
最新推荐文章于 2024-05-14 10:46:39 发布
阅读量495 收藏
点赞数
分类专栏: 物联网 文章标签: 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dandingwangzi/article/details/128990115
版权

         AWS服务是基于SigV4格式的凭据来认证身份的,而不是基于x.509证书认证的,但是拥有x.509证书的设备也能调用AWS服务。常用的做法是通过规则引擎来操作AWS服务,设备发送消息给IoT Core,触发规则引擎执行一项调用AWS服务的操作。

        为了让设备直接调用AWS服务,AWS IoT的凭据提供者可以让设备通过证书的方式认证AWS服务,具体流程如下:

1、请求安全token

设备向凭据提供者发送https请求,请求一个安全token,该请求包含x.509证书。

2、验证请求

凭据提供者将请求发送到AWS IoT认证和授权模块。

该模块认证X.509证书后,将计算出合适的权限,包含到安全的token,如果认证成功的话,证书将包含iot:AssumeRoleWithCertificate权限。

3、担任角色

对于验证成功,凭据提供者将会代表提前配置的IAM角色,调用AWS的安全token服务(AWS STS),角色必须拥有资源credentials.iot.amazonaws.com执行sts:AssumeRole权限

4、AWS安全token服务返回安全token

假如角色有权限,AWS STS将为凭据提供者返回一个临时的,权限受限的安全token

5、凭据提供者返回安全token

凭据提供者为设备返回安全token

6、使用安全token签发请求

设备使用安全token对AWS SigV4格式的AWS请求进行签名

7、验证签名

AWS服务调用IAM验证签名,并且授权请求访问IAM角色附加的策略

8、如果IAM验证签名成功,那么就会授权请求,请求就能访问服务了

最佳实践:

1、每个设备给定一个唯一的证书

2、设备支持证书过期后自动替换

3、下载证书和秘钥到设备上的安全的位置

4、当不再使用的时候停用CA证书 

5、检测到非法的活动应当吊销证书

参考地址:Self-paced digital training on AWS - AWS Skill Builder

Three Big Stones
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
aws-sigv4-proxy:该项目使用Sigv4签名并代理HTTP请求
05-06
AWS SigV4代理 AWS SigV4代理将对传入的HTTP请求进行签名,并将其转发到Host标头中指定的Host 。 您可以使用-s选项从传入请求中删除任意标头。 入门 生成并运行代理 The proxy uses the default AWS SDK for Go credential search path : * Environment variables . * Shared credentials file . * IAM role for Amazon EC2 or ECS task role More information can be found in the [ developer guide ]( https : //docs.aws.amazon.com/sdk-for-go/v1/developer-guide/configuring-sdk.html)
使用模版自动化 Amazon IoT 设备创建及证书注册过程
亚马逊云科技专栏
11-07 4337
背景介绍利用即时注册(JITR)功能,可以快速的进行设备证书注册及设备上线。但是配置相关 Amazon Lambda 函数的方式相对复杂。使用本文介绍的即时部署(JITP)功能,可以简化...
安全工具-curl学习_curl --aws-sigv4(1)
最新发布
2401_84968303的博客
05-14 374
【代码】安全工具-curl学习_curl --aws-sigv4(1)
AWS IOT Device C SDK 使用(一机一密、一型一密、公钥、私钥、CA、根证书、签名、预签名、验签、哈希、X.509)
zhuguanlin121的博客
05-04 3436
AWS IOT Device C SDK 使用 亚马逊物联网AWS IoT初体验 AWS IOT接入及测试 烟感器设备接入AWS IOT的一种方法 如何把设备安全的接入AWS IoT(二) AWS Client端SDK授权方案(Amazon Cognito 身份池)
玩转亚马逊 AWS IoT(2): IoT 控制台使用与开发操作文档
Mrqiang9001
07-30 3906
亚马逊 AWS iot IoT 控制台使用与开发操作文档
利用Amazon Lambda实现Amazon IoT设备证书的即时注册
亚马逊云科技专栏
10-17 472
背景介绍为了保证通信的安全性,Amazon IoT设备与Amazon IoT Core的MQTT通信使用基于证书的TLS 1.2双向认证体系。所谓的双向认证,即意味着Amazon IoT设...
awsIot for Java 使用Iot服务证书附加策略
HuYong
09-06 611
/** * 证书附加策略 * @param certificateArn 证书Arn必须已经在亚马逊iot管理后台存在 * @param policyName 策略已经在亚马逊iot管理后台存在 * @param accessKey * @param secretAccessKey * @return */ private static boolean certificateAtt...
日常运维之AWS 导入pfx/p12证书
小安安
05-20 507
背景 公司采用AWS云,做了一个供应采购项目,需要导入公司的HTTPS证书证书是*.pfx(含私钥和公钥)。 证书转换 生成证书证书链 openssl pkcs12 -in ssl.pfx -nokeys -out cert.pem 生成证书链 openssl pkcs12 -in ssl.pfx -nocerts -out key.pem -nodes 注:需要输入证书的对应的密码 导入 选择ALB对应的证书 再次点击“增加监听器”选择之前添加好的证书。 ...
AWS 负载均衡导入ECC证书
山炮运维
11-26 605
最近被网站优化搞得生活不能自理,测试了下竞品的网站发现SSL握手部分慢了300ms,对于RSA算法来讲,目前至少使用2048位以上的密钥长度才能保证安全性。ECC只需要使用224位长度的密钥就能实现RSA2048位长度的安全强度,在进行相同的模指数运算时速度显然要快很多。 在FreeSSL申请了免费的https ECC加密的证书,ACM导入成功都没有报错,然后,ALB负载均衡死活认不到证书,坑呐,重新生成RSA加密的导入就可以用。查了下才知道AWS ACM支持导入但不能用(做这个导入功能干嘛),要从IAM导
安全工具-curl学习
关注网络安全、云原生安全
03-30 1213
目录curl介绍命令参数无选项命令结果请求头仅显示返回的头部命令结果保存返回的头部命令结果添加请求头命令结果覆盖User-Agent的值命令结果GET请求POST请求表单json显示详细信息输出到文件参考 curl介绍 curl是一个命令行工具,常用于发送http请求。在windows下,我常用postman来发送请求,现在常用Linux、Mac系统,因此,今天详细学习一下curl。 命令参数 Usage: curl [options...] <url> --abstract-uni
X509数字证书
好习惯成就伟大
11-16 5170
主要函数 1) X509_STORE_add_cert 将证书添加到X509_STORE中。 1)X509_STORE_add_crl 将crl添加到X509_STORE中。 2)void X509_STORE_set_flags(X509_STORE *ctx, long flags) 将flags赋值给ctx里面的flags,表明了验证证书时需要验证哪些项。 4) X509_TRUST_set_default 设置默认的X509_T...
aws-signature-version-4:.NET中SigV4的详细介绍和深入了解
02-10
AwsSignatureVersion4 NET中的签名版本4(SigV4)的实现过程有些繁琐,但却很乏味,但进行了深入分析。 软件包 平台-.NET Framework 4.5,.NET Standard 2.0 目录 介绍 这个项目对我来说是独一无二的。 这是我的第一次,不是爱的工作。 不得不在AWS中签署请求后,我经历了一系列的事情。 我第一次感到失望,是针对亚马逊,因为他们没有在的包括Signature Version 4签名者。 该功能在列出,但我尚未看到针对实现的任何操作。 我的第二种情绪被压倒了。 签名算法涉及的比我想象的要多得多,而且我知道我必须花费大量时间来使算法与标准保持一致。 因此,在这里,我尝试在.NET中实现Signature Version 4算法。 请希望AWS开发工具包能够尽快发布此功能,以便我们可以弃用这段代码... 超级简单易用 最好的API是您
s3-resizer:AWS Lambda用于即时调整S3中图像的大小
05-28
它是AWS Lambda,它是一项计算服务,可让您运行代码而无需置备或管理服务器。 演示版 这个lambda提供了什么 假设我们在S3中有一些共享图像,例如: https://example.com/images/pretty_photo.jpg 将图片动态调整为...
支持鸿蒙系统的AWS IoT 亚马逊物联网云平台接入软件包
04-03
aws资源支持鸿蒙系统的AWS IoT 亚马逊物联网云平台接入软件包。适用于嵌入式 C 的 AWS IoT 设备开发工具包是 C 源文件的集合,可用于嵌入式应用程序以安全地连接到 AWS IoT 平台。它包括传输客户端、MQTT、TLS 实现...
Laravel开发-aws-sdk-php-laravel 亚马逊 AWS 服务的开发者工具包
08-28
Laravel开发-aws-sdk-php-laravel 亚马逊 AWS 服务的开发者工具包 亚马AWS服务的开发者工具包,支持S3、EC2等服务接口调用
gradle-aws-plugin:用于管理Amazon Web Services的Gradle插件
01-30
Gradle AWS插件 Gradle插件来管理AWS资源。当前功能/支持的AWS产品S3 创建桶删除存储桶上传对象删除对象文件同步设定值区政策设置网站配置EC2 运行实例启动实例停止执行个体终止实例导入密钥创建安全组删除安全组...
aws-cfn-ses-domain:适用于Amazon SES域和电子邮件身份的AWS CloudFormation资源
05-10
适用于Amazon SES域和电子邮件身份的AWS CloudFormation资源 AWS 提供了几种内置的,但是奇怪地缺少了进行SES所需的最基本:域和电子邮件验证。 该软件包将那些缺少的类型实现为CloudFormation : Custom::SES_...
亚马逊X509证书的授权
dandingwangzi的专栏
02-11 510
亚马逊X509证书的授权
数字证书X.509格式详解
BiigPanda的博客
01-10 6450
X.509是一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准,因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。X.509证书的结构是用ASN1(Abstract Syntax Notation One)进行描述数据结构,并使用ASN.1语法进行编码。
c# 调用api 接口 使用aws 鉴权方式
05-25
在 C# 中调用 AWS API 接口并使用 AWS 鉴权方式,可以通过 AWS SDK for .NET 来实现。以下是一个简单的示例: 1. 首先,需要安装 AWS SDK for .NET。可以通过 NuGet 包管理器来安装。 2. 在代码中引入 AWS SDK 的命名空间: ```csharp using Amazon; using Amazon.Runtime; using Amazon.Runtime.CredentialManagement; using Amazon.S3; using Amazon.S3.Model; ``` 3. 创建 AWS 访问凭证对象。可以使用以下代码从 AWS 访问密钥文件或凭证配置文件中读取访问密钥和秘密访问密钥: ```csharp var options = new CredentialProfileOptions { AccessKey = "YOUR_ACCESS_KEY", SecretKey = "YOUR_SECRET_KEY" }; var profile = new CredentialProfile("profile-name", options); var profileAWSCredentials = new CredentialProfileStoreChain().TryGetAWSCredentials(profile, out var awsCredentials); ``` 4. 创建 AWS S3 客户端对象,并使用上一步中创建的访问凭证对象进行身份验证: ```csharp var region = RegionEndpoint.GetBySystemName("us-west-2"); // 指定 AWS 区域 var s3Client = new AmazonS3Client(awsCredentials, region); ``` 5. 调用 AWS S3 API 接口。以下是一个示例: ```csharp var request = new PutObjectRequest { BucketName = "my-bucket", Key = "my-object", ContentBody = "Hello World!" }; var response = await s3Client.PutObjectAsync(request); ``` 以上代码演示了如何使用 AWS SDK for .NET 调用 AWS S3 API 接口并使用 AWS 鉴权方式进行身份验证。根据实际情况,需要将代码中的访问密钥和秘密访问密钥替换为自己的凭证信息,并将区域、桶名和对象键等参数替换为实际的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值