AWS原本宣布Amazon S3從6月24日開始,停止支援舊的簽章方法Signature Version 2(SigV2),現在改變計畫,雖然新的儲存桶不再支援SigV2,但現存的部分仍可繼續使用,並呼籲所有使用者更新舊的程式碼,修掉SigV2相關的部分改用SigV4。

為了安全目的,Amazon S3 API所做的請求都必須經過簽章授權,而由於Amazon S3是AWS很早期就提供的服務,在2006年就對外釋出,因此其使用的簽名模型是SigV2,而在2012年的時候,AWS另外推出了更加靈活的簽章方法SigV4,並在2013年後,在所有區域都僅能使用SigV4。

AWS解釋,較新的簽章方法使用獨立且專用的簽章金鑰,該金鑰只能用在特定服務、區域和時間,而這提供了額外防止金鑰重用的隔離保護,而除了安全性因素外,AWS內部的SigV4實作,能夠快取身份授權檢查結果,而這能減少延遲增加應用程式的彈性。

在2018年的時候,AWS宣布了SigV2棄用的消息,要在2019年6月24日終結SigV2,但仍然收到許多延長SigV2支援時間的要求,因此現在AWS改變原定計畫,現存的儲存桶仍然可以繼續使用SigV2,但是新的儲存桶將不再支援SigV2簽章請求。

雖然現在所有儲存桶都還是可以繼續使用SigV2,但是為了安全性和效率的因素,AWS仍然建議使用者進行更新,AWS也提到,更換應用程式的簽章方法,從SigV2轉換到SigV4的手續通常很簡單,僅需要更新SDK就好,部分情況下,以AWS Java、Node.js或是Python SDK使用預簽章的URL,開發者則需要稍微修改程式碼中的區域以及簽章版本,不過,凡是使用新版的AWS開發工具套件,就已經符合SigV4的要求。


Advertisement

更多 iThome相關內容