宣布 AWS STS 支持基于 ECDSA 的 OIDC 令牌签名
今天,AWS Security Token Service (STS) 宣布支持使用椭圆曲线数字签名算法 (ECDSA) 密钥对 OpenID Connect (OIDC) JSON Web 令牌 (JWT) 进行数字签名。数字签名可保证 JWT 的真实性和完整性,而 ECDSA 是一种很受欢迎的、经过 NIST 批准的数字签名算法。当您的身份提供者 (IdP) 对用户进行身份验证时,即会制作一个代表该用户身份的已签名 OIDC JWT。当经过身份验证的用户调用 AssumeRoleWithWebIdentity API 并传递其 OIDC JWT 时,STS 会提供短期凭证,允许您访问受保护的 AWS 资源。
现在,当您的 IdP 对 OIDC JWT 进行数字签名时,您可以选择是使用 RSA 密钥还是 ECDSA 密钥。要开始对 OIDC IdP 使用 ECDSA 密钥,请使用新的密钥信息更新 IdP 的 JWKS 文档。无需更改您的 AWS Identity and Access Management (IAM) 配置,即可使用基于 ECDSA 的 OIDC JWT 签名。
对基于 ECDSA 的 OIDC JWT 签名的支持已在所有 AWS 区域推出,包括 AWS GovCloud(美国)区域。
要详细了解如何使用 OIDC 对用户和工作负载进行身份验证,请访问 IAM 用户指南中的 OIDC 联合身份验证。