Come viene verificata l'identità dell'app AWS?

Question

Come viene verificata l'identità dell'app AWS?

#1 da (0 voti)

1

Quindi ottengo la nozione di ruoli e i ruoli e i criteri collegati ai servizi in AWS. Tuttavia, tutto ciò funziona solo se l'identità / principale (e so che c'è una differenza tra i due, ma l'uso di entrambi i termini in modo abbastanza libero qui) essendo rivendicata da un'app può essere verificata (ad esempio l'autenticazione dell'app). Suppongo che questa autenticazione si verifichi con il "tessuto AWS" e non con il servizio / risorsa di destinazione a cui l'app desidera accedere.

Qualcuno può condividere dettagli su come un'app stabilisce la sua identità e su come il "tessuto" verifica l'identità?

Azure ha la nozione di identità dei servizi gestiti (basata su sistema assegnato estensioni identità e VM ).

Qual è l'equivalente su AWS? In che modo "fabric" AWS assegna / verifica le identità delle app?
Se l'unico meccanismo di verifica è una chiave di accesso e una chiave segreta (o un token al portatore), ritengo che sia un problema circolare per la gestione delle credenziali o molto insicuro.

Naturalmente, potrei sbagliarmi completamente nel modo in cui sto confrontando la gestione delle identità di Azure con AWS, ma sembra che una verifica / assegnazione di identità senza credenziali come in Azure sia probabilmente altrettanto sicura che mai.

authentication identity azure aws

posta PerennialN00b 24.08.2018 - 15:58

fonte

1 risposta

Leggi altre domande sui tag authentication identity azure aws

Qual è la soluzione per firmare digitalmente la posta elettronica a parte S / MIME e GPG / OpenPGP [chiuso] Esistono malware per stampanti collegate tramite USB

score 0 · Accepted Answer

Non ho mai usato Azure, ma è simile a AWS KMS che a quanto pare usa anche HashiCorp Vault . Puoi vedere alcuni casi d'uso qui .

Dai un'occhiata a questo , penso che spieghi ciò di cui hai bisogno.

EC2 auth method Amazon EC2 instances have access to metadata which describes the instance. The Vault EC2 auth method leverages the components of this metadata to authenticate and distribute an initial Vault token to an EC2 instance. The data flow (which is also represented in the graphic below) is as follows:

Vault AWS EC2 Authentication Flow

An AWS EC2 instance fetches its AWS Instance Identity Document from the EC2 Metadata Service. In addition to data itself, AWS also provides the PKCS#7 signature of the data, and publishes the public keys (by region) which can be used to verify the signature.

The AWS EC2 instance makes a request to Vault with the PKCS#7 signature. The PKCS#7 signature contains the Instance Identity Document within itself.

Vault verifies the signature on the PKCS#7 document, ensuring the information is certified accurate by AWS. This process validates both the validity and integrity of the document data. As an added security measure, Vault verifies that the instance is currently running using the public EC2 API endpoint.

Provided all steps are successful, Vault returns the initial Vault token to the EC2 instance. This token is mapped to any configured policies based on the instance metadata.

There are various modifications to this workflow that provide more or less security, as detailed later in this documentation.