¿Cómo se verifica la identidad de la aplicación AWS?

Navega tus respuestas
1

Así que obtengo la noción de roles y roles y políticas vinculados al servicio en AWS. Sin embargo, todo eso funciona solo si el principal / identidad (y sé que hay una diferencia entre los dos, pero el uso de cualquiera de los dos términos aquí de manera bastante liberal) puede ser verificado por una aplicación (es decir, la autenticación de la aplicación). Supongo que esta autenticación se produce en el "tejido AWS" y no en el servicio / recurso de destino al que la aplicación desea acceder.

¿Puede alguien compartir detalles sobre cómo una aplicación establece su identidad y cómo el "tejido" verifica la identidad?

Azure tiene la noción de identidades de servicio administradas (basado en sistema asignado Identidad y extensiones de VM ).

  • ¿Cuál es el equivalente en AWS? ¿Cómo el "tejido" de AWS asigna / verifica las identidades de la aplicación?
  • Si el único mecanismo para la verificación es una clave de acceso y una clave secreta (o un token de portador), creo que es un problema circular para la administración de credenciales o muy inseguro.

Por supuesto, podría estar totalmente equivocado en la forma en que estoy comparando la administración de identidad de Azure con AWS, pero parece que una verificación / asignación de identidad sin credenciales como en Azure es probablemente tan segura como es posible.

    
pregunta PerennialN00b 24.08.2018 - 15:58
fuente

1 respuesta

0

Nunca he usado Azure, pero se parece a AWS KMS que aparentemente también usa HashiCorp Vault . Puede ver algunos casos de uso aquí .

Eche un vistazo a esto , creo que explica lo que necesita.

  

Método de autenticación EC2 Las instancias de Amazon EC2 tienen acceso a metadatos que   describe la instancia. El método de autenticación Vault EC2 aprovecha el   componentes de estos metadatos para autenticar y distribuir una inicial   Voto token a una instancia de EC2. El flujo de datos (que también es   representado en el gráfico a continuación) es el siguiente:

     

Flujo de autenticación de AWS EC2

     

     

Una instancia de AWS EC2 obtiene su documento de identidad de instancia de AWS de   El servicio de metadatos EC2. Además de los datos en sí, AWS también   proporciona la firma PKCS # 7 de los datos y publica el público   claves (por región) que pueden usarse para verificar la firma.

     

La instancia de AWS EC2 realiza una solicitud a Vault con el PKCS # 7   firma. La firma PKCS # 7 contiene la Identidad de Instancia   Documento dentro de sí mismo.

     

Vault verifica la firma en el documento PKCS # 7, asegurando que   la información está certificada con precisión por AWS. Este proceso valida tanto   La validez e integridad de los datos del documento. Como una seguridad añadida   medida, Vault verifica que la instancia se está ejecutando actualmente usando   el punto final de la API de EC2 pública.

     

Siempre que todos los pasos tengan éxito, Vault devuelve el Vault inicial   token a la instancia de EC2. Este token se asigna a cualquier configurada   Políticas basadas en los metadatos de la instancia.

     

Hay varias modificaciones a este flujo de trabajo que proporcionan más o   menos seguridad, como se detalla más adelante en esta documentación.

    
respondido por el David Magalhães 24.08.2018 - 21:52
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la solución para firmar digitalmente el correo electrónico aparte de S / MIME y GPG / OpenPGP [cerrado] Hice clic en un enlace imgur en una sala de chat SE y terminé en una URL en India con una pantalla que se parecía a Google; ¿que pasó?