IAM Roles Anywhere 现已支持后量子数字证书
AWS Identity and Access Management(IAM)Roles Anywhere 现已支持 FIPS 204 模块化格基数字签名标准(ML-DSA),该算法是由美国国家标准与技术研究院(NIST)制定的抗量子数字签名标准,有助于防范拥有大规模量子计算机的威胁行为者。ML‑DSA 对于使用证书颁发机构颁发的 X.509 证书向 AWS 验证工作负载的 IAM Roles Anywhere 客户而言尤其重要,因为签名算法一旦被削弱,就可能使非预期用户能够颁发证书并获得非法访问权限。
IAM Roles Anywhere 可让在 AWS 外部运行的工作负载使用 X.509 证书获取临时 AWS 凭证,进而访问 AWS 资源。您可以通过以下方式创建信任锚,在 AWS 环境和公有密钥基础设施(PKI)之间建立信任关系:引用您的 AWS 私有证书颁发机构,或在 IAM Roles Anywhere 中注册您自己的证书颁发机构(CA)。现在,您可以将经 ML-DSA 签名的 CA 证书用作 IAM Roles Anywhere 信任锚,并颁发已绑定到 ML-DSA 密钥的终端实体证书。
此功能已在所有提供 IAM Roles Anywhere 的 AWS 区域推出,包括 AWS GovCloud(美国)区域、AWS European Sovereign Cloud(德国)区域和中国区域。要了解更多信息,请参阅 IAM Roles Anywhere 用户指南。