IAM Roles Anywhere introduce il supporto per i certificati digitali post-quantistici
AWS Identity and Access Management (IAM) Roles Anywhere ora supporta il FIPS 204 Module-Lattice Digital Signature Standard (ML-DSA), un algoritmo di firma digitale resistente ai computer quantistici standardizzato dal National Institute of Standards and Technology (NIST), progettato per aiutare a proteggere le infrastrutture dalle minacce poste da attori in possesso di computer quantistici su larga scala. ML-DSA riveste particolare importanza per i clienti di IAM Roles Anywhere che autenticano i carichi di lavoro su AWS attraverso certificati X.509 emessi da autorità di certificazione: in questo scenario, un algoritmo di firma vulnerabile potrebbe essere sfruttato da soggetti non autorizzati per emettere certificati e ottenere accessi illeciti.
IAM Roles Anywhere permette ai carichi di lavoro che operano al di fuori dell'infrastruttura AWS di acquisire credenziali AWS temporanee tramite certificati X.509, abilitando così l'accesso alle risorse AWS. La relazione di fiducia tra l'ambiente AWS e l'infrastruttura a chiave pubblica (PKI) viene stabilita creando un'ancora di fiducia, con riferimento all'Autorità di certificazione privata AWS (AWS Private CA) oppure registrando le proprie autorità di certificazione (CA) direttamente in IAM Roles Anywhere. È ora possibile utilizzare certificati CA firmati con ML-DSA come ancore di fiducia di IAM Roles Anywhere ed emettere certificati di entità finale associati a chiavi ML-DSA.
La funzionalità è disponibile in tutte le regioni AWS in cui è supportato IAM Roles Anywhere, incluse le regioni AWS GovCloud (Stati Uniti), la regione AWS European Sovereign Cloud (Germania) e le regioni AWS Cina. Per saperne di più, consulta la guida utente di IAM Roles Anywhere.