Autenticación de solicitudes - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Autenticación de solicitudes

Si utiliza un lenguaje para el que AWS proporciona un SDK, le recomendamos que utilice el SDK. Todos los SDK de AWS simplifican enormemente el proceso de firmar solicitudes y permiten ahorrar mucho tiempo frente al uso dela API de AWS WAF o Shield Advanced. Además, los SDK se integran fácilmente con su entorno de desarrollo y proporcionan acceso sencillo a los comandos relacionados.

AWS WAF y Shield Avanzado requieren que autentifique todas las solicitudes enviadas firmándolas. Para firmar una solicitud, se calcula una firma digital mediante una función hash criptográfica que proporciona un valor hash basado en la entrada. La entrada incluye el texto de la solicitud y su clave de acceso secreta. La función hash devuelve un valor hash que se incluye en la solicitud como la firma. La firma forma parte del encabezado de la Authorization de la solicitud.

Tras recibir la solicitud, AWS WAF o Shield Avanzado recalcula la firma utilizando la misma función hash y los datos especificados para firmar la solicitud. Si la firma resultante coincide con la firma de la solicitud, AWS WAF o Shield Avanzado procesa la solicitud. De lo contrario, la solicitud es rechazada.

AWS WAF y Shield Avanzado permiten realizar la autenticación con AWS Signature Version 4. El proceso para calcular una firma se puede dividir en tres tareas:

Tarea 1: Creación de una solicitud canónica

Crear su solicitud HTTP en formato canónico como se describe en Tarea 1: Creación de una solicitud canónica para Signature Version 4 en Referencia general de Amazon Web Services.

Tarea 2: Creación de una cadena para firmar

Crear una cadena que se utilizará como uno de los valores de entrada de la función hash criptográfica. La cadena, llamada cadena para firmar, es una concatenación de los valores siguientes:

  • Nombre del algoritmo de hash

  • Fecha de solicitud

  • Cadena en el ámbito de credenciales

  • Solicitud estandarizada (canónica) desde la tarea anterior

La cadena del ámbito de credenciales es una concatenación de fecha, región e información del servicio.

Para el parámetro X-Amz-Credential, especifique lo siguiente:

  • Código para el punto de conexión al que está enviando la solicitud, us-east-2

  • waf para la abreviatura de servicio

Por ejemplo:

X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20130501/us-east-2/waf/aws4_request

Tarea 3: Crear una firma

Crear una firma para su solicitud mediante una función hash criptográfica que acepta dos cadenas de entrada:

  • La cadena para firmar, desde la Tarea 2.

  • Una clave derivada. La clave derivada se calcula a partir de la clave de acceso secreta, utilizando el ámbito de credencial para crear una serie de códigos de autenticación de mensajes basados en hash (HMAC).