すべてのプロダクト
Search
ドキュメントセンター

:ユーザー署名の確認

最終更新日:Feb 21, 2024

Object Storage Service (OSS) は、AccessKeyペアを使用して対称暗号化を実装し、リクエスタのIDを検証します。

AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。 AccessKey IDはユーザーの ID を検証するために使用され、AccessKey secret は署名文字列を暗号化して検証するために使用されます。 AccessKey Secret は、機密情報として厳密に取り扱う必要があります。 AccessKeyペアの権限は、アカウントの種類によって異なります。

  • Alibaba CloudアカウントのAccessKeyペア: Alibaba CloudアカウントのAccessKeyペアには、リソースに対する完全な権限があります。
  • RAMユーザーのAccessKeyペア: RAMユーザーはAlibaba Cloudアカウントによって作成および承認されます。 RAMユーザーのAccessKeyペアには、指定されたリソースに対する権限が制限されています。
  • STSからの一時的なアクセス資格情報のAccessKeyペア: STSによって生成された一時的なアクセス資格情報は、セキュリティトークンと一時的なAccessKeyペアで構成されます。 STSからの一時的なアクセス資格情報のAccessKeyペアは、資格情報の有効期間内に指定されたリソースに対するアクセス許可が制限されています。 一時的なアクセス資格情報の有効期限が切れると、AccessKeyペアは無効になります。

個々のユーザーとしてOSSにリクエストを送信する前に、リクエストに指定された形式で署名文字列を生成し、AccessKeyシークレットを使用して署名文字列を暗号化し、検証コードを生成する必要があります。 OSSがリクエストを受信すると、OSSはAccessKey IDに基づいてAccessKeyシークレットを見つけ、AccessKeyシークレットを使用して署名文字列と検証コードを復号化します。 次に、OSSは検証コードを計算し、復号化された検証コードと比較します。 2つの確認コードが同じ場合、OSSはリクエストが有効であると判断します。 それ以外の場合、OSSはリクエストを拒否し、HTTPステータスコード403を返します。

詳細については、「概要」をご参照ください。