Mantenere un segreto chiave segreta con Amazon Web Services
https://stackoverflow.com/questions/2240216
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto giocando intorno con l'utilizzo di servizi web di Amazon nel mio progetto personale. Ho afferrato la loro AWS SDK per .NET e sto usando, ma io sono un po 'confuso.
-
L'accesso al servizio web (in questo caso, SimpleDB, anche se non credo che sia veramente materiale alla domanda) è autorizzato tramite una coppia di chiavi pubblica / privata.
-
L'AWS SDK per .NET API utilizzata per creare un oggetto client richiede la chiave privata:
AWSClientFactory.CreateAmazonSimpleDBClient(publicKey, privateKey); -
Questa è un'applicazione client, in modo che il codice sarebbe essere in esecuzione interamente sul client.
-
Suggerendo che il cliente avrebbe bisogno di avere accesso al mio chiave privata per avere accesso al SimpleDB. Ma Amazon afferma ripetutamente e con forza che la mia chiave privata non deve lasciare il mio controllo.
Questo non ha senso per me, così ho dato io devo essere perso qualcosa.
È un'applicazione client-side il modello sbagliato per i servizi web di Amazon, in generale, per l'utilizzo di loro AWS SDK per .NET, o mi sto perdendo qualcosa che rende un'applicazione client perfettamente ragionevole? C'è un buon modo per ovviare a questo senza creare un servizio proxy della mia che l'autenticazione di client e inoltrare le loro richieste al SimpleDB?
Soluzione
Non è necessario implementare un proxy che fronteggia il Remote Service (AWS). Basta implementare un semplice piccolo servizio,, autenticato che restituisce al cliente la URL e le intestazioni da utilizzare quando si contatta AWS. Il tuo webservice autenticato mantiene il segreto AWS, e fornisce solo l'URL richiesta firmata e intestazioni per la client, che poi va e fa la chiamata lavoro effettivo utilizzare tali informazioni restituite.
In questo modo, si evita l'overhead durante la chiamata AWS di dover passare attraverso i propri server, risparmiando la latenza, la larghezza di banda, legato prese sul server, il fallimento la gestione della complessità, ecc basta prendere una facciata leggera hit per il cliente per ottenere le istruzioni appropriate.
