AWS Signer 专业2019年〜
对代码进行数字签名以确保完整性和来源可信的服务
它能做什么
AWS Signer 是一项对代码包进行数字签名的托管服务。确保部署的代码未被篡改且来自可信来源。支持 Lambda 函数、IoT 设备固件、容器镜像等的代码签名。签名密钥由 AWS 管理,无需自行维护签名基础设施。
使用场景
用于 Lambda 函数部署前的代码完整性验证、IoT 设备固件更新的安全保障、容器镜像的来源验证、合规要求下的代码签名。
日常类比
可以比作公证处的印章。在文件(代码)上盖章(签名),证明文件是真实的且未被修改。收到文件的人可以验证印章确认文件的真实性。
什么是 Signer
AWS Signer 是一项代码签名服务。在软件供应链安全中,确保部署的代码确实来自可信来源且未被篡改至关重要。Signer 使用非对称加密对代码进行签名,部署时验证签名以确保完整性。
签名配置文件与验证
签名配置文件(Signing Profile)定义签名的参数(平台、有效期等)。对代码签名后生成签名作业(Signing Job),包含签名后的代码包。Lambda 的代码签名配置可以强制只部署经过签名的代码,拒绝未签名或签名无效的部署。 如需了解签名配置文件与验证的详细信息,可参考相关书籍(Amazon)。
开始使用
在 Signer 控制台创建签名配置文件,选择目标平台(Lambda、IoT 等)。使用 API 或 CLI 对代码包进行签名。对于 Lambda,创建代码签名配置并关联到函数,之后只有经过签名的代码才能部署。
注意事项
- Signer 本身免费,按签名作业数收费
- Lambda 的代码签名配置可以强制只部署经过签名的代码
