S3 Glacier 要求您通过签署 请求。若要对请求进行签名,请使用加密哈希计算数字签名 功能。加密哈希是一个函数,它根据 输入。哈希函数的输入包括请求的文本和密钥 访问密钥。哈希函数返回一个哈希值,您将其包含在请求中,作为 签名。签名是请求标头的一部分。Authorization
收到您的请求后,S3 Glacier 会使用相同的方法重新计算签名 哈希函数和用于对请求进行签名的输入。如果生成的签名 与请求中的签名匹配,S3 Glacier 将处理该请求。否则, 请求被拒绝。
S3 Glacier 支持使用 AWS 进行身份验证签名版本 4。计算签名的过程可以分为 三项任务:
-
将 HTTP 请求重新排列为规范格式。使用规范形式是必要的 因为 S3 Glacier 在重新计算 签名以与您发送的签名进行比较。
-
创建一个字符串,该字符串将用作加密哈希的输入值之一 功能。字符串,称为字符串 sign ,是哈希算法名称的串联, 请求日期、凭证范围 字符串和 来自上一个任务的规范化请求。凭据 scope string 本身是 date、AWS Region 和 服务信息。
使用接受的加密哈希函数为请求创建签名 两个输入字符串:要签名的字符串 和派生密钥 。派生密钥 是 计算方法是从您的秘密访问密钥开始,然后使用凭证范围字符串创建一系列 基于哈希的消息身份验证代码 (HMAC)。请注意,哈希函数 此签名步骤中使用的不是 S3 Glacier API 中使用的树形哈希算法 上传数据。
主题
签名计算示例
以下示例将指导您完成为创建 Create Vault (PUT vault) 创建签名的详细信息。该示例可以用作 参考以检查您的签名计算方法。有关更多信息,请参阅 IAM 用户指南 中的签署 AWS API 请求。
该示例假定以下情况:
-
请求的时间戳为 。
Fri, 25 May 2012 00:24:53 GMT
-
终端节点为美国东部(弗吉尼亚北部)区域。
us-east-1
一般请求语法(包括 JSON 正文)为:
PUT /-/vaults/examplevault HTTP/1.1 Host: glacier.us-east-1.amazonaws.com Date: Fri, 25 May 2012 00:24:53 GMT Authorization: ``SignatureToBeCalculated`` x-amz-glacier-version: 2012-06-01
为任务 1:创建规范请求计算的请求的规范形式为:
PUT /-/vaults/examplevault
host:glacier.us-east-1.amazonaws.com
x-amz-date:20120525T002453Z
x-amz-glacier-version:2012-06-01host;x-amz-date;x-amz-glacier-version e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
规范请求的最后一行是请求正文的哈希值。另外,请注意 规范请求中的第三行为空。这是因为没有查询参数 对于此 API。
任务 2:创建要签名的字符串的签名字符串为:
AWS4-HMAC-SHA
256
20120525T002453Z
20120525/us-east-
1/glacier/aws
4_request
5f1da1a2d0feb614dd03d71e87928b8e449ac87614479332aced3a701f916743
要签名的字符串 的第一行是算法,第二行 是时间戳,第三行是凭证范围 ,而 最后一行是任务 1:创建规范请求中的规范请求的哈希值。这 要在凭据范围内使用的服务名称为 。glacier
对于任务 3:创建签名,派生密钥可以表示为:
derived key = HMAC(HMAC(HMAC(HMAC("AWS4" + YourSecretAccessKey,"20120525"),"us-east-1"),"glacier"),"aws4_request")
如果使用秘密访问密钥 ,则计算出的 签名是:wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
3ce5b2f2fffac9262b4da9256f8d086b4aaf42eba5f111c21681a65a127b7c2a
最后一步是构造标头。用于演示 访问键 ,标头(为 可读性)是:Authorization``AKIAIOSFODNN7EXAMPLE
Authorization: AWS
4-HMAC-SHA
256 Credential=AKIAIOSFODNN
7EXAMPLE/
20120525/us-east-
1/glacier/aws
4_request,
SignedHeaders=host;x-amz-date;x-amz-glacier-version,
Signature=
3ce
5b
2f
2fffac
9262b
4da
9256f
8d
086b
4aaf
42eba
5f
111c
21681a
65a
127b
7c
2a
计算流式处理的签名 操作
上传存档(POST 存档)和上传部分(PUT uploadID)是流式处理操作 要求您在以下情况下包含额外的标头 签署并发送您的请求。流式处理操作的签名步骤如下 与其他操作完全相同,只是增加了流式处理 页眉。x-amz-content-sha256
流标头的计算基于 要上传的整个内容(有效负载)的 SHA256 哈希值。请注意,这个 计算不同于 SHA256 树哈希(计算校验和)。除了微不足道的情况外,SHA 256 哈希 有效负载数据的值将与有效负载的 SHA256 树哈希值不同 数据。x-amz-content-sha256
如果将有效负载数据指定为字节数组,则可以使用以下 Java 代码 代码段来计算 SHA256 哈希值。
public
static
byte[]
computePayloadSHA256Hash2(
byte[] payload) throws NoSuchAlgorithmException, IOException { BufferedInputStream bis =
new BufferedInputStream(
new ByteArrayInputStream(payload)); MessageDigest messageDigest = MessageDigest.getInstance(
"SHA-256");
byte[] buffer =
new
byte[
4096];
intbytesRead =
-1;
while( (bytesRead = bis.read(buffer,
0, buffer.length)) !=
-1) { messageDigest.update(buffer,
0, bytesRead); }
return messageDigest.digest(); }
同样,在 C# 中,您可以计算有效负载数据的 SHA256 哈希值,如 以下代码片段。
public
static
byte[]
CalculateSHA256Hash(
byte[] payload) { SHA256 sha256 = System.Security.Cryptography.SHA256.Create();
byte[] hash = sha256.ComputeHash(payload);
return hash; }
流式处理 API 的签名计算示例
以下示例将指导您完成为上传存档(POST 存档)创建签名的详细信息,这是两个签名之一 S3 Glacier 中的流式处理 API。该示例假定以下情况:
-
请求的时间戳为 。
Mon, 07 May 2012 00:00:00 GMT
-
终端节点是美国东部(弗吉尼亚北部)区域, us-east-1 中。
-
内容负载是一个字符串"Welcome to S3 Glacier"。
一般请求语法(包括 JSON 正文)显示在 示例如下。请注意,标头已包含在内。 在此简化示例中,和的值相同。但是,对于存档 上传大于 1 MB,这不是 箱。 x-amz-content-sha256``x-amz-sha256-tree-hash``x-amz-content-sha256
POST /-/vaults/examplevault HTTP/1.1 Host: glacier.us-east-1.amazonaws.com Date: Mon, 07 May 2012 00:00:00 GMT x-amz-archive-description: my archive x-amz-sha256-tree-hash: SHA256 tree hash x-amz-content-sha256: SHA256 payload hash Authorization: ``SignatureToBeCalculated`` x-amz-glacier-version: 2012-06-01
为任务 1:创建规范请求计算的请求的规范形式如下所示。请注意, 流标头包含在其值中。这 表示您必须先读取有效负载并计算 SHA256 哈希值,然后再进行计算 签名。x-amz-content-sha256
POST /-/vaults/examplevault
host:glacier.us-east-1.amazonaws.com
x-amz-content-sha256:726e392cb4d09924dbad1cc0ba3b00c3643d03d14cb4b823e2f041cff612a628
x-amz-date:20120507T000000Z
x-amz-glacier-version:2012-06-01host;x-amz-content-sha256;x-amz-date;x-amz-glacier-version 726e392cb4d09924dbad1cc0ba3b00c3643d03d14cb4b823e2f041cff612a628
签名计算的其余部分遵循示例签名计算中概述的步骤。使用秘密访问密钥和访问权限的标头 键如下所示(添加了换行符 可读性):Authorization``wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY``AKIAIOSFODNN7EXAMPLE
Authorization=AWS
4-HMAC-SHA
256
Credential=AKIAIOSFODNN
7EXAMPLE/
20120507/us-east-
1/glacier/aws
4_request,
SignedHeaders=host;x-amz-content-sha
256;x-amz-date;x-amz-glacier-version,
Signature=b
092397439375d
59119072764a
1e
9a
144677c
43d
9906fd
98a
5742c
57a