Объявление о поддержке подписывания токенов OIDC на основе ECDSA в AWS STS
Сегодня Сервис токенов безопасности AWS (STS) объявляет о поддержке цифрового подписывания веб-токенов JSON (JWT) OpenID Connect (OIDC) с использованием ключей алгоритма цифровой подписи на основе эллиптических кривых (ECDSA). Цифровая подпись гарантирует подлинность и целостность JWT, а ECDSA является популярным алгоритмом цифровой подписи, одобренным NIST. Когда поставщик идентификации (IdP) аутентифицирует пользователя, он создает подписанный JWT OIDC, представляющий личность этого пользователя. Когда аутентифицированный пользователь вызывает API AssumeRoleWithWebIdentity и передает свой JWT OIDC, STS предоставляет краткосрочные учетные данные, обеспечивающие доступ к защищенным ресурсам AWS.
Теперь у вас есть выбор между использованием ключей RSA и ECDSA, когда ваш IdP подписывает JWT OIDC с помощью цифровой подписи. Чтобы начать использовать ключи ECDSA с вашим IdP OIDC, обновите документ JWKS вашего IdP, добавив новую ключевую информацию. Для использования подписей JWT OIDC на основе ECDSA изменять конфигурацию Управления идентификацией и доступом AWS (IAM) не требуется.
Поддержка подписывания JWT OIDC на основе ECDSA доступна во всех регионах AWS, включая регионы AWS GovCloud (США).
Чтобы узнать больше об использовании OIDC для аутентификации пользователей и рабочих нагрузок, обратитесь к разделу Федерация OIDC в руководстве пользователя IAM.