IAM Roles Anywhere 现在为 CreateSession API 强执行 VPC 端点策略

发布于: 2026年5月1日

AWS Identity and Access Management（IAM）Roles Anywhere 现在支持为 IAM Roles Anywhere CreateSession API 配置虚拟私有云（VPC）端点策略。您可以更新 VPC 端点策略，以允许或拒绝 CreateSession 操作。如果您的 VPC 端点策略的 Allow 语句中未明确包含 CreateSession，或者您未允许所有操作（例如，未将 action 指定为“rolesanywhere:*”），则 IAM Roles Anywhere 不会为通过您的 VPC 端点发起的请求返回临时 AWS 凭证。

CreateSession API 可让在 AWS 外部运行的工作负载使用 X.509 证书获取临时 AWS 凭证，进而访问 AWS 资源。此前，VPC 端点策略适用于除 CreateSession 之外的所有 IAM Roles Anywhere API 操作。此次发布填补了这一空白，使您能够对所有 IAM Roles Anywhere API 操作实施一致的、精细的访问控制。

此功能已在所有提供 IAM Roles Anywhere 的 AWS 区域推出，包括 AWS GovCloud（美国）区域、AWS European Sovereign Cloud（德国）区域和中国区域。要了解更多信息，请参阅 IAM Roles Anywhere 用户指南。