Veröffentlicht am: Apr 19, 2024
AWS Identity and Access Management (IAM) Roles Anywhere bietet jetzt die Möglichkeit, eine Reihe von Zuordnungsregeln zu definieren, sodass Sie angeben können, welche Daten aus Ihren X.509-Endentitätszertifikaten extrahiert werden. Die Daten, die zugeordnet werden, werden als Attribute bezeichnet und in der IAM-Richtlinienbedingung als Sitzungs-Tags verwendet, um Berechtigungen zuzulassen oder zu verweigern. Diese Attribute können sich in einem der Felder „Betreff“, „Aussteller“ oder „Subject Alternative Name“ (SAN) des X.509-Zertifikats befinden.
Standardmäßig werden alle Relative Distinguished Names (RDNs) vom Betreff und Aussteller des Zertifikats zusammen mit dem ersten Wert des Domain Name Systems (DNS), dem Verzeichnisnamen (Directory Name, DN) und dem Uniform Resource Identifier (URI) aus dem SAN des Zertifikats zugeordnet. Mit dieser Neuerung können Sie nun eine Reihe von Zuordnungsregeln definieren und nur eine Teilmenge der Attribute dieser Zertifikate auswählen, die Ihren Geschäftsanforderungen entsprechen. Dadurch werden die Größe und Komplexität der für die Autorisierungsrichtlinien verwendeten Tags reduziert. Diese zugeordneten Attribute sind mit Ihrem Profil verknüpft. Sie können diese Zuordnungsregeln mithilfe der APIs put-attribute-mapping oder delete-attribute-mapping von der IAM-Roles-Anywhere-Konsole, den AWS-SDKs und der AWS-CLI definieren.
Diese Funktion wird in allen AWS-Regionen unterstützt, in denen IAM Roles Anywhere verfügbar ist, einschließlich der Regionen AWS GovCloud (USA). Weitere Informationen zu dieser Funktion finden Sie im Benutzerhandbuch, im API-Referenzhandbuch und im AWS-CLI-Leitfaden.