IAM Roles Anywhere がポスト量子デジタル証明書のサポートを開始
AWS Identity and Access Management (IAM) Roles Anywhere は FIPS 204 Module-Lattice デジタル署名標準 (ML-DSA) をサポートするようになりました。これは、大規模な量子コンピュータを所有する脅威アクターからの保護に役立つように、米国国立標準技術研究所 (NIST) によって標準化された耐量子デジタル署名アルゴリズムです。ML-DSA は、認証局が発行した X.509 証明書を使用して AWS へのワークロードを認証する IAM Roles Anywhere のお客様にとって特に有益です。署名アルゴリズムが弱いと、意図しないユーザーが証明書を発行して不正アクセスを取得する可能性があります。
IAM Roles Anywhere を使用すると、AWS の外部で実行されているワークロードは、X.509 証明書を使用して一時的な AWS 認証情報を取得して AWS リソースにアクセスできます。AWS Private Certificate Authority を参照するか、独自の認証局 (CA) を IAM Roles Anywhere に登録して、トラストアンカーを作成することで、AWS 環境とパブリックキーインフラストラクチャ (PKI) の間の信頼を確立します。ML-DSA で署名された CA 証明書を IAM Roles Anywhere トラストアンカーとして使用し、ML-DSA キーにバインドされたエンドエンティティ証明書を発行できるようになりました。
この機能は、AWS GovCloud (米国) リージョン、AWS European Sovereign Cloud (ドイツ) リージョン、中国リージョンなど、IAM Roles Anywhere が利用可能なすべての AWS リージョンで利用できます。詳細については、IAM Roles Anywhere のユーザーガイドを参照してください。