我一直在寻找有关In App Purchases是否可以在使用XCode 6的模拟器上进行实际测试的相互矛盾的信息.一些答案说' 是 ',其他人似乎表明Xcode 6的测试版中存在错误,而其他人则说' 不 '.
我有一个应用程序,其中IAP在设备上运行良好,但在模拟器中,尝试刷新收据失败,并发出一条非常无益的消息:Error Domain=SKErrorDomain Code=0 "The operation couldn’t be completed. (SKErrorDomain error 0.)".
我的应用程序被应用程序商店拒绝,因为测试人员无法测试(即使它与设备上的沙箱帐户完美配合),我开始怀疑他们只是在模拟器上测试而无法继续.
由于我已经阅读了很多关于它没有在模拟器上工作而且你必须在设备上进行测试,我并不担心它不能在模拟器上工作但是可能在背后咬了我一下.
谁能说他们实际上已经让IAP在IOS 8/Xcode 6模拟器上工作了?
根据此处和此处的 AWS 文档,我应该能够使用 cloudformation自动创建和验证证书。显然,当您在 中指定 aHostedZoneId时DomainValidationOptions,它应该创建所需的 DNS 记录以完成验证(至少从非常模糊的文档中看起来是这样)。我的证书 CF 模板如下所示:
Resources:
MyAPICert:
Type: AWS::CertificateManager::Certificate
Properties:
DomainName: xxxx.dev.mydomain.io
DomainValidationOptions:
- DomainName: mydomain.io
HostedZoneId: /hostedzone/Z03XXXXXXXXXXXX
ValidationMethod: DNS
“mydomain.io”(当然已更改)是使用 AWS 作为注册商注册的,因为文件说必须是自动验证才能工作的情况。
上面的这个模板作为资源包含在 serverless.yml 中。然而,当我部署,堆栈创建只是卡住等待DNS记录-即我的理解是它不会添加所需的CNAME条目应该做的,因此堆栈被卡住。
有没有人让这个功能工作?
而且,是的,我知道尝试做同样事情的 3rd 方自定义资源,如果 CF 现在应该在本地执行此操作,我不想使用它们。
ssl amazon-web-services aws-cloudformation amazon-route53 serverless-framework
使用 IAM 角色被认为是获取 EC2 实例凭证的首选方式,以便它可以与 AWS API 进行通信。我知道密钥是临时的并且会轮换,这比使用存储在磁盘上的凭据有明显的优势。然而,它引入了另一个严重的安全问题,通过在磁盘上使用加密凭据可以避免这个问题。
如果我的凭据位于文件系统上,我可以使用文件系统的内置权限机制来阻止除需要密钥的进程之外的任何进程读取它们。在这种情况下,如果有人利用以不同于需要访问 AWS API 的用户身份运行的软件中的某些漏洞来破坏实例,他将无法读取包含凭证的文件(由操作系统强制执行)。(我没有考虑他可以提升到 root 访问权限的情况,在这种情况下,所有的赌注都会被取消)。
但是,当使用 IAM 角色时,可以通过网络调用获取凭证:
http://169.254.169.254/latest/meta-data/iam/security-credentials/*.
任何进程,甚至那些几乎具有零权限的进程都可以对此 URL 执行 wget(或curl 等),并拥有可供使用的凭据。事实上,它们的轮换并没有让这种情况变得更加安全。
我可以轻易想到的唯一补救措施是本地防火墙来限制哪些进程可以访问 IP 地址 169.254.169.254。这看起来笨重且不优雅。
使用 IAM 角色时是否有推荐的方法来解决此安全问题?