IAM Roles Anywhere теперь поддерживает постквантовые цифровые сертификаты
Компонент Roles Anywhere в Управлении идентификацией и доступом AWS (AWS IAM) теперь поддерживает алгоритм цифровой подписи на основе модульных решеток (Module-Lattice Digital Signature Algorithm, ML-DSA) по стандарту FIPS 204. Этот квантово-устойчивый алгоритм цифровой подписи, стандартизированный Национальным институтом по стандартизации и технологии (NIST) США, помогает защититься от злоумышленников, обладающих крупномасштабным квантовым компьютером. Алгоритм ML-DSA особенно полезен для клиентов IAM Roles Anywhere, которые аутентифицируют рабочие нагрузки в AWS с помощью сертификатов X.509, выдаваемых центрами сертификации, у которых слабый алгоритм подписи может позволить ненадлежащему пользователю выдавать сертификаты и получать несанкционированный доступ.
IAM Roles Anywhere позволяет рабочим нагрузкам, выполняемым вне AWS, получать временные мандаты для доступа к ресурсам AWS с помощью сертификатов X.509. Вы устанавливаете доверие между своей средой AWS и инфраструктурой открытых ключей (PKI), создавая якорь доверия либо через ссылку на свой Частный центр сертификации AWS либо путем регистрации собственных центров сертификации (CA) в IAM Roles Anywhere. Теперь вы можете использовать сертификаты CA с подписями ML-DSA в качестве якорей доверия IAM Roles Anywhere и выдавать сертификаты конечных сущностей, привязанные к ключам ML-DSA.
Данная функция доступна во всех регионах AWS, где доступен компонент IAM Roles Anywhere, включая регионы AWS GovCloud (США), AWS European Sovereign Cloud (Германия) и регионы Китая. Дополнительные сведения см. в Руководстве пользователя IAM Roles Anywhere.