投稿日: Apr 19, 2024
AWS Identity and Access Management (IAM) Roles Anywhere に、一連のマッピングルールを定義する機能が追加され、X.509 エンドエンティティ証明書からどのデータを抽出するかを指定できるようになりました。マッピングされたデータは属性として参照され、アクセス権限を許可または拒否するために IAM ポリシー条件でセッションタグとして使用されます。X.509 証明書のサブジェクト、発行者、またはサブジェクト代替名 (SAN) のいずれかのフィールドの属性をマッピングできます。
デフォルトでは、証明書のサブジェクトと発行者のすべての相対識別名 (RDN) が、証明書の SAN のドメインネームシステム (DNS)、ディレクトリ名 (DN)、およびユニフォームリソース識別子 (URI) の最初の値と共にマッピングされます。今回のリリースにより、一連のマッピングルールを定義し、ビジネスニーズを満たす証明書の属性のサブセットのみを選択できるようになりました。これは、承認ポリシーに使用されるタグのサイズと複雑さの軽減につながります。マップされた属性はプロフィールに関連付けられます。マッピングのルールは、IAM Roles Anywhere コンソール、AWS SDK、および AWS CLI で put-attribute-mapping または delete-attribute-mapping API を使用して定義できます。
この機能は、AWS GovCloud (米国) リージョンを含む、IAM Roles Anywhere が利用可能なすべての AWS リージョンでサポートされています。この機能の詳細については、ユーザーガイド、API リファレンスガイド、AWS CLI リファレンスを参照してください。