IAM Roles Anywhere 認証情報ヘルパーが TPM 2.0 のサポートを開始

投稿日: 2024年12月17日

本日、AWS Identity and Access Management (IAM) Roles Anywhere認証情報ヘルパーのバージョン 1.4.0 がリリースされ、Trusted Platform Module (TPM) 2.0 との組み込み互換性が導入されました。今回のリリースでは、認証情報ヘルパーは Windows または Linux システムの TPM に保存されている X.509 証明書と関連するプライベートキーを直接利用できるようになりました。キーは安全なハードウェアストア内に保管されるため、セキュリティ体制の改善に役立ちます。

IAM Roles Anywhere を使用すれば、サーバー、コンテナ、アプリケーションなど、AWS の外部で稼働するワークロードが X.509 デジタル証明書を使用して一時的な AWS 認証情報を取得することで、AWS ワークロードを AWS リソースにアクセスさせるために構成したのと同じ IAM ロールとポリシーを AWS 外のワークロードが利用して AWS リソースにアクセスできるようになります。IAM Roles Anywhere は、X.509 に準拠したすべての PKI プロバイダーが発行した証明書と互換性があります。

IAM Roles Anywhere 認証情報ヘルパーは、X.509 エンドエンティティ証明書に関連付けられたプライベートキーを使用して CreateSession API に署名するプロセスを自動化し、エンドポイントを呼び出して一時的な AWS 認証情報を取得するツールです。認証情報ヘルパーは PKCS #11 との互換性があるため、インフラストラクチャで信頼されているハードウェアまたはソフトウェアのセキュアストアのプライベートキーを活用できます。本日のリリースでは、柔軟性がさらに向上し、開発者が TPM を安全なハードウェアストアとして直接活用できるようになっており、これは複雑さの軽減とセキュリティ体制の改善に寄与します。

IAM Roles Anywhere 認証情報ヘルパーのソースコードは GitHub で入手できます。認証情報ヘルパー v1.4.0 の詳細については、リリースノートを参照してください。