发布于: Apr 19, 2024
AWS Identity and Access Management (IAM) Roles Anywhere 现在提供了定义一组映射规则的功能,从而使您能够指定从 X.509 终端实体证书中提取哪些数据。映射的数据被称为属性,在 IAM 策略条件中用作会话标签,以允许或拒绝权限。这些属性可以位于 X.509 证书的主题、颁发者或主题备用名称 (SAN) 字段中。
默认情况下,将映射来自证书的主题和颁发者的所有相对识别名 (RDN),以及来自证书 SAN 的域名系统 (DNS)、目录名称 (DN) 和统一资源标识符 (URI) 的第一个值。通过此次发布,您现在可以定义一组映射规则,并仅选择满足业务需求的证书属性子集。因此,降低了用于授权策略的标签的大小和复杂性。这些映射的属性与您的配置文件相关联。您可以使用 IAM Roles Anywhere 控制台、AWS SDK 和 AWS CLI 中的 put-attribute-mapping 或 delete-attribute-mapping API 来定义这些映射规则。
包括 AWS GovCloud(美国)区域在内的所有推出 IAM Roles Anywhere 的 AWS 区域都支持此功能。要了解有关此功能的更多信息,请参阅用户指南、API 参考指南和 AWS CLI 参考。