連接到EC2 AWS上的Web服務

Question

我們在aws的EC2實例上運行了一個Web服務api。 我們想從我們管理的外部應用程序（例如iphone應用程序，不同服務器上的其他前端應用程序）連接到它。 我無法確定如何進行認證。 是否將IP添加到EC2安全組或IAM？ 然后在發出JSON請求時是否需要發送AWS訪問密鑰？ 這些是在標題中發送的嗎？ 所以說一個示例調用將是：

API.post（“ http://awsserver.com/app_api/v1/request ”，查詢：{customer_name：“ John Doe”，customer_email：“ test@test.com”}，標頭：{“ AWS_ACCESS_KEY_ID” =>“ exampletoken“，” AWS_SECRET_KEY“ =>” secretexample“}）

我嘗試搜索，但令人驚訝的是沒有發現很多。 任何幫助將是巨大的，謝謝。

Answer 1

首先，不要以純文本形式發送帶有任何POST的訪問密鑰和機密。 訪問密鑰和秘密密鑰用於生成唯一的令牌，這些令牌將在您的帳戶級別（而不是您的應用程序（API））上訪問AWS資源。

我有很多假設，但是，如果您打算使該API可從移動設備訪問，因為它們的IP會發生變化，則需要在應用程序級別完成身份驗證。

查看OAuth，其中設備從您的應用程序中的某些身份驗證機制請求訪問，該身份驗證機制將返回令牌，您可以在標頭中的后續POST請求中發送令牌。

對於訪問您的API的服務器，您當然可以將這些EC2實例IP添加到一個安全組，以打開對您的API服務器的訪問，並拒絕所有其他IP的訪問，但是請記住，如果EC2實例沒有彈性IP，那么在任何重新啟動時它們都將具有一個不同的IP，需要將其添加到您的安全組中。