Справка по директиве

aws_key_scope

Определяет область ключа подписи, используемого для аутентификации запросов к сервисам AWS.

NGINX module to proxy to authenticated AWS services · httpserverlocation
Синтаксисaws_key_scope scope;
По умолчаниюnone
Контекстhttp, server, location
Аргументы1

Описание

Директива aws_key_scope в модуле аутентификации AWS для NGINX определяет область для ключа подписи, создаваемого для сервисов AWS. Эта область необходима для корректной подписи запросов в соответствии с процессом Signature Version 4 от AWS. Обычно она включает дату, регион и сервис, форматированные как YYYYMMDD/region/service/aws4_request. Использование правильной области гарантирует, что механизм авторизации сможет проверить запрос в отношении требуемой конечной точки сервиса AWS. Установив эту директиву на уровнях контекста http, server или location, пользователи могут задавать разные области для различных частей приложения, учитывая разнообразные конечные точки сервисов или регионы.

Когда выполняется запрос, NGINX использует эту область вместе с сгенерированным ключом подписи для формирования корректно подписанного запроса, который S3 сможет аутентифицировать. Область ключа помогает изолировать ключи подписи, что облегчает управление безопасностью и контролем доступа. Поскольку ключи подписи AWS считаются конфиденциальной информацией, рекомендуется хранить их в безопасности и регулярно обновлять, так как они действительны лишь в течение ограниченного времени, как правило — одной недели.

Вкратце, эта директива критична для эффективной настройки NGINX в качестве прокси для сервисов AWS, особенно S3: она обеспечивает корректную аутентификацию запросов и предотвращает ненужное раскрытие конфиденциальной информации, такой как ключи доступа и ключи подписи.

Пример конфига

server {
    listen 8000;
    aws_access_key your_aws_access_key;
    aws_key_scope 20150830/us-east-1/service/aws4_request;
    aws_signing_key signing_key_generated_using_script;
    aws_s3_bucket your_s3_bucket;

    location / {
        aws_sign;
        proxy_pass http://your_s3_bucket.s3.amazonaws.com;
    }
}

Убедитесь, что формат строки области ключа соответствует требуемому формату AWS: YYYYMMDD/region/service/aws4_request.

Следите за сроком действия ключа; ключи для подписи необходимо регулярно обновлять.

Избегайте раскрытия ваших AWS ключей доступа и ключей подписи в общедоступных конфигурациях.

Связанные директивы

aws_access_keyaws_signing_keyaws_endpointaws_s3_bucket
← Ко всем директивам