ประกาศการรองรับ AWS STS สำหรับลายเซ็นที่ใช้ ECDSA ของโทเค็น OIDC
ในวันนี้ AWS Security Token Service (STS) ออกประกาศรองรับการลงนามแบบดิจิทัล OpenID Connect (OIDC) โทเค็นเว็บ JSON (JWT) โดยใช้คีย์ Elliptic Curve Digital Signature Algorithm (ECDSA) ลายเซ็นดิจิทัลช่วยรับรองความถูกต้องและความสมบูรณ์ของ JWT และ ECDSA เป็นอัลกอริทึมลายเซ็นดิจิทัลยอดนิยมที่ได้รับการรับรองจาก NIST เมื่อผู้ให้บริการข้อมูลระบุตัวตน (IdP) ยืนยันตัวตนผู้ใช้แล้ว ก็จะสร้าง OIDC JWT ที่ลงนามไว้ ซึ่งแสดงถึงตัวตนของผู้ใช้นั้น ๆ เมื่อผู้ใช้ที่ได้รับการยืนยันตัวตนเรียกใช้ AssumeroleWithWebIdentity API และส่ง OIDC JWT เรียบร้อยแล้ว STS จะให้ข้อมูลประจำตัวสั้น ๆ ที่ผู้ใช้สามารถใช้เพื่อเข้าถึงทรัพยากร AWS ที่ได้รับการป้องกันของคุณได้
ในตอนนี้ คุณมีทางเลือกระหว่างการใช้คีย์ RSA และ ECDSA เมื่อ IdP ของคุณลงนามใน OIDC JWT แบบดิจิทัลแล้ว ในการเริ่มใช้คีย์ ECDSA กับ OIDC IdP ของคุณ ให้อัปเดตเอกสาร JWKS ของ IdP ด้วยข้อมูลคีย์ตัวใหม่ โดยคุณไม่จำเป็นต้องเปลี่ยนการกำหนดค่า AWS Identity and Access Management (IAM) เพื่อใช้ลายเซ็นที่ใช้ ECDSA ของ OIDC JWT ของคุณ
การรองรับลายเซ็นที่ใช้ ECDSA ของ OIDC JWTS มีให้บริการในทุก AWS Region รวมถึงรีเจี้ยน AWS GovCloud (สหรัฐฯ) ด้วยเช่นกัน
โปรดดูที่ระบบเชื่อมโยงข้อมูล OIDC ในคู่มือผู้ใช้ IAM เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการใช้ OIDC ในการยืนยันตัวตนผู้ใช้และเวิร์กโหลดของคุณ