Autenticação de solicitações - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Autenticação de solicitações

Se você usa uma linguagem para a qual AWS fornece um SDK, recomendamos que use o SDK. Todos os SDKs da AWS simplificam muito o processo de assinatura das solicitações e economizam uma quantidade significativa de tempo em comparação com o uso de uma API do AWS WAF ou do Shield Advanced. Além disso, os SDKs integram-se facilmente com o ambiente de desenvolvimento e fornecem acesso fácil aos comandos relacionados.

AWS WAF e Shield Advanced exigem que você autentique cada solicitação enviada ao assinar a solicitação. Para assinar uma solicitação, deve calcular uma assinatura digital usando uma função hash criptográfica que retorna um valor hash baseado na entrada. A entrada inclui o texto da solicitação e a chave de acesso secreta. A função de hash retorna um valor de hash que você inclui na solicitação como sua assinatura. A assinatura é parte do cabeçalho Authorization de sua solicitação.

Depois de receber a solicitação,AWS WAF ou Shield Advanced recalculará a assinatura usando a mesma função de hash e a entrada que você usou para assinar a solicitação. Quando a assinatura resultante corresponde à assinatura na solicitação, AWS WAF ou Shield Advanced processa a solicitação. Caso contrário, a solicitação será rejeitada.

AWS WAF e Shield Advanced dão suporte à autenticação usando o AWS Signature versão 4. O processo para calcular uma assinatura pode ser dividido em três tarefas:

Tarefa 1: criar uma solicitação canônica

Crie sua solicitação HTTP em formato canônico, como descrito em Tarefa 1: crie uma solicitação canônica para o Signature versão 4 no Referência geral da Amazon Web Services.

Tarefa 2: criar uma string para assinar

Crie uma string que será usada como um dos valores de entrada para sua função hash criptográfica. A string, chamada de string para assinar, é uma concatenação dos seguintes valores:

  • Nome do algoritmo hash

  • Data da solicitação

  • String de escopo de credencial

  • Solicitação canonicalizada da tarefa anterior

A string do escopo credencial em si é uma concatenação da data, da região e de informações do serviço.

Para o parâmetro X-Amz-Credential, especifique o seguinte:

  • O código para o endpoint ao qual você está enviando a solicitação, us-east-2

  • waf para a abreviação do serviço

Por exemplo:

X-Amz-Credential=AKIAIOSFODNN7EXAMPLE/20130501/us-east-2/waf/aws4_request

Tarefa 3: crie uma assinatura

Crie uma assinatura para sua solicitação usando uma função hash criptográfica que aceita duas strings de entrada:

  • Sua string para assinar, da Tarefa 2.

  • Uma chave derivada. Para calcular a chave derivada, inicie sua chave de acesso secreta e use a string do escopo credencial para criar uma série de códigos de autenticação de mensagem baseados em hash (HMACs).