私は、特定の情報がEC2インスタンスで生成されたことを検証するAPIゲートウェイオーソライザのラムダを作成しています。これを行うには、http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-identity-documents.htmlを使用していますが、私はAWS公開証明書を追跡する最善の方法が何であるか疑問に思っています。もちろん、現在の証明書をファイルに保存するだけで、変更が行われると失敗しますが、理想的にはURLから動的に取得したいので、更新された証明書で新しいバージョンをリリースする必要はありません。証明書を取得できるURLはありますか?私はAWSのドキュメント(KMSを含む)を検索しましたが、何も見つかりませんでした。プログラムでAWS公開証明書を取得できますか?
S3バケットに署名を格納します。
必要に応じてS3からファイルを取得します(必要に応じてローカルにキャッシュします)。
公開鍵が変更された場合は、S3でファイルを更新するだけです。
ありがとう、私の質問で言及したように、それは私が現時点でやっていることであり、避けようとしていることです。 AWSによって管理されているどこからでもダウンロードして、更新するとラムダが動作し続けるという考えです。 – nanodgb
署名はパブリック/既知のURLにありません。もしそうであれば、あなたが参照しているドキュメンテーションがそれに言及すると思います。 S3にファイルを置くことで、「新しいバージョンをリリースする」必要はありません。 –
証明書が公開されていない場合は、そのようにしなければならないと思います。とにかく誰かが私に行方不明になっている可能性のあるURLを指すことを望んでいた。 – nanodgb
あなたはこれを意味しましたか?
docs.aws.amazon.com/cli/latest/reference/acm/get-certificate.html
それが返されます。
MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdT ZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn + a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB + BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9 + h8Mg9q6q + auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE =
いいえ、ここにはすべてのパブリックリージョンの公開証明書が含まれています:http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-identity-documents.html その証明書にARNがあった場合、私は 'get-certificate'を使ってそれを得ることができます。 – nanodgb
は*証明書を持って、これまで*変わったのか? –