Ankündigung der AWS-STS-Unterstützung für ECDSA-basierte Signaturen von OIDC-Tokens
Heute kündigt der AWS Security Token Service (STS) die Unterstützung für das digitale Signieren von OpenID Connect (OIDC) JSON Web Tokens (JWTs) mithilfe von ECDSA-Schlüsseln (Elliptic Curve Digital Signature Algorithm) an. Eine digitale Signatur garantiert JWT-Authentizität und -Integrität, und ECDSA ist ein beliebter, von NIST zugelassener Algorithmus für digitale Signaturen. Wenn Ihr Identitätsanbieter (IdP) einen Benutzer authentifiziert, erstellt er ein signiertes OIDC-JWT, das die Identität dieses Benutzers repräsentiert. Wenn Ihr authentifizierter Benutzer die AssumeRoleWithWebIdentity-API aufruft und sein OIDC-JWT weiterleitet, gibt STS zeitlich begrenzte Anmeldeinformationen aus, die den Zugriff auf Ihre geschützten AWS-Ressourcen ermöglichen.
Sie haben jetzt die Wahl, ob Sie RSA- und ECDSA-Schlüssel verwenden möchten, wenn Ihr IdP ein OIDC-JWT digital signiert. Um ECDSA-Schlüssel mit Ihrem OIDC-IdP zu nutzen, aktualisieren Sie zunächst das JWKS-Dokument Ihres IdP mit den neuen Schlüsselinformationen. Für die Nutzung der ECDSA-basierte Signaturen Ihrer OIDC-JWTs, ist eine Änderung Ihrer IAM-Konfiguration (AWS Identity and Access Management) nicht erforderlich.
Unterstützung für ECDSA-basierte Signaturen von OIDC-JWTs ist in allen AWS-Regionen verfügbar, einschließlich der Regionen AWS GovCloud (USA).
Weitere Informationen über die Verwendung von OIDC für die Authentifizierung Ihrer Benutzer und Workloads, finden Sie unter OIDC Verbund im IAM-Benutzerhandbuch.