Seguridad

Cómo funciona AWS Signature Version 4 (SigV4) - La mecánica criptográfica de la autenticación de APIs

Un análisis criptográfico profundo del proceso de firma SigV4 en 4 pasos (solicitud canónica, cadena para firmar, derivación de clave, firma), URLs prefirmadas y SigV4A para multi-región.

約 4 分で読めます

Por qué es necesaria la firma

Cada solicitud API a AWS debe estar autenticada para verificar la identidad del solicitante y garantizar que la solicitud no ha sido alterada en tránsito. A diferencia de los tokens Bearer simples, SigV4 firma criptográficamente cada solicitud individual, proporcionando protección contra ataques de repetición (mediante la inclusión de marca temporal), verificación de integridad del mensaje (cualquier modificación invalida la firma) y autenticación sin transmitir el secreto (la clave secreta nunca se envía por la red). Este diseño permite que las solicitudes transiten por redes no confiables sin comprometer la seguridad.

El proceso de firma en 4 pasos

El proceso SigV4 consta de 4 pasos secuenciales. Paso 1: Crear la solicitud canónica, que normaliza el método HTTP, la URI, los parámetros de consulta, los encabezados y el hash del cuerpo en un formato determinista. Paso 2: Crear la cadena para firmar (String to Sign), que combina el algoritmo, la marca temporal, el ámbito de credenciales y el hash de la solicitud canónica. Paso 3: Derivar la clave de firma mediante una cadena de operaciones HMAC-SHA256. Paso 4: Calcular la firma aplicando HMAC-SHA256 con la clave derivada sobre la cadena para firmar. El resultado se incluye en el encabezado Authorization o como parámetros de consulta.

Derivación de clave de firma - Por qué HMAC en múltiples etapas

La derivación de clave utiliza 4 operaciones HMAC encadenadas: HMAC(HMAC(HMAC(HMAC("AWS4" + SecretKey, fecha), región), servicio), "aws4_request"). Este diseño multi-etapa proporciona aislamiento temporal (las claves derivadas son válidas solo para un día específico), aislamiento regional (una clave derivada para us-east-1 no funciona en eu-west-1), aislamiento de servicio (una clave para S3 no funciona para DynamoDB) y limitación de daño (si se compromete una clave derivada, el impacto se limita a un día/región/servicio específico). Los SDKs de AWS cachean las claves derivadas durante el día para evitar recalcularlas en cada solicitud.

URLs prefirmadas - Incorporando la firma en la URL

Las URLs prefirmadas permiten compartir acceso temporal a recursos sin exponer credenciales. En lugar de incluir la firma en el encabezado Authorization, se incorpora como parámetros de consulta (X-Amz-Algorithm, X-Amz-Credential, X-Amz-Date, X-Amz-Expires, X-Amz-Signature). El parámetro Expires define la validez (máximo 7 días para S3). Esto permite generar URLs de descarga temporales para objetos S3 privados, compartir acceso sin requerir credenciales AWS del receptor y limitar el acceso tanto temporal como por recurso específico.

SigV4A - Nuevo método de firma para multi-región

SigV4A (Signature Version 4 Asymmetric) extiende SigV4 para soportar solicitudes que abarcan múltiples regiones. Mientras SigV4 incluye la región en el ámbito de credenciales (limitando cada firma a una región), SigV4A utiliza criptografía asimétrica (ECDSA) que permite firmar solicitudes válidas para múltiples regiones simultáneamente. Esto es esencial para S3 Multi-Region Access Points y otros servicios que enrutan solicitudes entre regiones. SigV4A utiliza un par de claves efímeras derivadas de las credenciales del usuario, manteniendo la compatibilidad con el modelo de seguridad existente.

Servicios relacionados

AWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWS

Artículos relacionados

¿Por qué las API de AWS devuelven XML? - La historia de la evolución desde Query API hasta REST JSONExplicamos las razones históricas por las que las API de S3 y EC2 devuelven respuestas XML, las diferencias entre Query API y REST API, la evolución de la autenticación de Signature V2 a V4, y la complejidad que los SDK ocultan.El mecanismo de throttling de las API de AWS - El algoritmo Token Bucket y la verdad detrás del error 429Explicamos cómo el rate limiting de las API de AWS se implementa con el algoritmo Token Bucket, el concepto de burst capacity, las diferencias en los límites según el servicio, y las medidas prácticas para evitar el throttling.Lógica de evaluación de políticas IAM explicada - Cómo la denegación implícita pierde ante la autorización explícitaUna explicación paso a paso de cómo IAM evalúa las solicitudes para permitirlas o denegarlas, cubriendo la prioridad de denegación implícita, autorización explícita y denegación explícita, así como la lógica de intersección para SCPs, límites de permisos y políticas de sesión.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS SignerServicio que aplica firmas digitales a código e imágenes de contenedores, verificando firmas en el despliegue para garantizar la integridad de la cadena de suministro de software¿Por qué las API de AWS devuelven XML? - La historia de la evolución desde Query API hasta REST JSONExplicamos las razones históricas por las que las API de S3 y EC2 devuelven respuestas XML, las diferencias entre Query API y REST API, la evolución de la autenticación de Signature V2 a V4, y la complejidad que los SDK ocultan.Firma de código con AWS Signer - Garantizando la confianza en funciones Lambda e imágenes de contenedorAplicamos firma de código a funciones Lambda e imágenes de contenedor, imponemos la verificación de firmas en el despliegue e integramos con pipelines CI/CD.AWS SignerServicio que firma y verifica código para garantizar que solo se despliegue código confiableAWS Systems Manager Parameter StoreAlmacén jerárquico para guardar y gestionar datos de configuración y secretos de forma segura