Manter um segredo chave secreta com Amazon Web Services

Question

Eu estou brincando com usando Amazon Web Services no meu projeto pessoal. Eu agarrei sua AWS SDK for .NET e eu estou usando isso, mas eu estou um pouco confuso.

1. O acesso ao serviço web (neste caso, o SimpleDB, embora eu não acho que é realmente o material para a pergunta) é autorizado por meio de um par de chaves privada / pública.

2. O AWS SDK for .NET API usado para criar um objeto de cliente requer a chave privada:

   AWSClientFactory.CreateAmazonSimpleDBClient(publicKey, privateKey);
   

3. Esta é uma aplicação cliente, de modo que o código seria correr inteiramente no cliente.

4. Sugerindo que o cliente precisa ter acesso a minha chave privada para ter acesso ao SimpleDB. Mas a Amazon repetida e enfaticamente afirma que a minha chave privada não deve sair do meu controle.

Isto não faz sentido para mim, então eu acho que deve estar faltando alguma coisa.

É um aplicativo do lado do cliente o modelo errado para os Amazon Web Services, em geral, para usar seu AWS SDK for .NET, ou estou perdendo algo que faz uma aplicação cliente perfeitamente razoável? Existe uma boa maneira de contornar isso sem criar um serviço de proxy da minha própria que autenticar os clientes e encaminhar seus pedidos ao SimpleDB?

Answer 1

Você não precisa implementar um proxy que frentes o controle remoto serviço (AWS). Apenas implementar um simples, serviço de pequeno, autenticado que retorna ao cliente o URL e cabeçalhos para usar quando entrar em contato com a AWS. seu webservice autenticado mantém o segredo AWS, e só fornece a URL de solicitação assinada e cabeçalhos para o cliente, que então vai e faz a chamada trabalho real usando essa informação retornado.

Desta forma, você evita a sobrecarga durante os AWS chamam de ter que passar por seus próprios servidores, poupando latência, largura de banda, amarrados soquetes em seu servidor, falha de manipulação complexidade, etc. Você só tomar uma batida leve na frente de o cliente para obter as instruções adequadas.