Publicado en: Apr 19, 2024
Funciones de AWS Identity and Access Management (IAM) en cualquier lugar ahora ofrece la capacidad de definir un conjunto de reglas de asignación, lo que le permite especificar qué datos se extraen de sus certificados de entidad final X.509. Los datos que se asignan se denominan atributos y se utilizan como etiquetas de sesión en la condición de la política de IAM para permitir o denegar los permisos. Estos atributos pueden estar en uno de los campos de asunto, emisor o nombre alternativo del sujeto (SAN) del certificado X.509.
De forma predeterminada, se asignan todos los nombres distintivos relativos (RDN) del asunto y el emisor del certificado, junto con el primer valor del sistema de nombres de dominio (DNS), el nombre del directorio (DN) y el identificador uniforme de recursos (URI) del nombre alternativo del sujeto (SAN) del certificado. Con este lanzamiento, ahora puede definir un conjunto de reglas de asignación y elegir solo un subconjunto de los atributos de esos certificados que satisfagan sus necesidades empresariales. De este modo, se reduce el tamaño y la complejidad de las etiquetas utilizadas para las políticas de autorización. Estos atributos asignados están asociados a su perfil. Puede definir esas reglas de asignación mediante las API put-attribute-mapping o delete-attribute-mapping de la consola de Funciones de IAM en cualquier lugar, los SDK de AWS y la CLI de AWS.
Esta funcionalidad es compatible en todas las regiones de AWS en las que está disponible Funciones de IAM en cualquier lugar, incluidas las regiones de AWS GovCloud (EE. UU.). Para obtener más información sobre esta funcionalidad, consulte la Guía del usuario, la Guía de referencia de la API y la Referencia de la CLI de AWS.