Registrar las interacciones y las mitigaciones

Una URL prefirmada contiene una firma y se puede usar, durante el período anterior a la caducidad, para realizar la operación de API específica para la que se firmó. Debe tratarse como una credencial de acceso temporal. La firma debe permanecer privada solo para las partes que necesiten conocerla. En la mayoría de los entornos, este es el cliente que envía la solicitud y el servidor que la recibe. El envío de la firma como parte de una sesión HTTPS directa mantiene su naturaleza privada, ya que solo un participante de la sesión HTTPS puede ver el URI que transmite la firma.

En el caso de las URL prefirmadas, la firma se transmite como parámetro de cadena de X-Amz-Signature consulta. Los parámetros de la cadena de consulta son un componente de un URI. El riesgo es que los clientes registren el URI y la firma con él. Los clientes tienen acceso a toda la solicitud HTTP y pueden registrar cualquier parte de la solicitud, los datos y los encabezados (incluidos los encabezados de autenticación). Sin embargo, por convención, esto es menos común. El registro de URI es más común y obligatorio en casos como el registro de acceso. Los clientes deben utilizar la redacción o el enmascaramiento para eliminar la firma antes de registrar los URI.

En algunos entornos, los usuarios permiten que los intermediarios (proxies) obtengan visibilidad en sus sesiones HTTPS. La activación de los proxies requiere un alto nivel de acceso privilegiado a los sistemas cliente, ya que requieren configuración y certificados de confianza. La instalación de una configuración de proxy y de certificados de confianza, dentro del contexto local del entorno intermediario del cliente, permite un nivel de privilegios muy alto. Por esta razón, el acceso a dichos intermediarios debe estar estrictamente controlado.

El propósito de un intermediario suele ser bloquear las salidas no deseadas y rastrear otras salidas. Por ello, es habitual que estos intermediarios registren las solicitudes. Si bien los intermediarios podrían, como los clientes, registrar cualquier contenido, encabezados y datos (todos los cuales serían muy confidenciales), es más común que registren los URI, como los que incluyen el X-Amz-Signature parámetro de cadena de consulta.

Mitigaciones

Recomendamos que al registrar los URI se redacte el parámetro de la cadena de X-Amz-Signature consulta, se redacte toda la cadena de consulta o se trate la información de forma altamente confidencial, como ocurre con el acceso directo al servidor intermediario. Si bien estas protecciones son muy recomendables, el hecho de que las URL prefirmadas caduquen reduce los riesgos de exposición de los registros, siempre y cuando la exposición se retrase lo suficiente como para que las firmas caduquen.

Amazon S3 también ve las firmas y debe gestionarlas adecuadamente. Los registros de acceso al servidor Amazon S3 incluyen el URI de la solicitudX-Amz-Signature, pero lo redactan como se recomienda. Lo mismo ocurre cuando se registran eventos de CloudTrail datos para Amazon S3. Puedes configurar Amazon CloudWatch Logs para que oculte los datos mediante identificadores de datos personalizados.

La siguiente expresión regular coincide con la X-Amz-Signature forma en que aparece en un URI:


X-Amz-Signature=[a-f0-9]{64}

La siguiente expresión regular agrega patrones de agrupamiento para identificar el texto que se va a reemplazar de manera más específica:


(?:X-Amz-Signature=)([a-f0-9]{64})

Si tiene una entrada en el registro de acceso como la siguiente:


X-Amz-Signature=733255ef022bec3f2a8701cd61d4b371f3f28c9f193a1f02279211d48d5193d7

La primera expresión regular traduce la entrada del registro de acceso a:


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

La segunda expresión regular, en los sistemas que admiten grupos que no capturan, traduce la entrada del registro de acceso a:


X-Amz-Signature=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Barandillas adicionales

Preguntas frecuentes