投稿日: Sep 20, 2023
本日、AWS Identity and Access Management (IAM) Roles Anywhere は、パブリックキー暗号化規格 (PKCS) #11 互換のセキュリティモジュールに保存されている X.509 証明書とプライベートキーのサポートを含む認証情報ヘルパーバージョン 1.1.0 をリリースしました。IAM Roles Anywhere 認証情報ヘルパーは、X.509 エンドエンティティ証明書に関連付けられたプライベートキーを使用して CreateSession API に署名するプロセスを管理し、エンドポイントを呼び出して一時的な AWS 認証情報を取得するツールです。このリリースにより、認証情報ヘルパーを使用して、PKCS #11 互換のセキュリティモジュール内にキーを保管したまま、そのキーに署名操作を委任できるようになります。これは、セキュリティ体制の強化に役立ちます。
IAM Roles Anywhere を使用すれば、サーバー、コンテナ、アプリケーションなど、AWS の外部で稼働するワークロードが X.509 デジタル証明書を使用して一時的な AWS 認証情報を取得することで、AWS ワークロードを AWS リソースにアクセスさせるために構成したのと同じ IAM ロールとポリシーを AWS 外のワークロードが利用して AWS リソースにアクセスできるようになります。
IAM Roles Anywhere は、ほとんどの商用リージョンで利用できます。IAM Roles Anywhere 認証情報ヘルパーのソースコードは GitHub で利用可能です。認証情報ヘルパー v1.1.0 の詳細については、リリースノートを参照してください。署名操作を YubiKeys などの PKCS #11 モジュールに委任する方法の詳細については、ブログ記事を参照してください。