IAM Roles Anywhere 現在支援後量子數位憑證
AWS Identity and Access Management (IAM) Roles Anywhere 現在支援 FIPS 204 Module-Lattice 數位簽章標準 (ML-DSA),這是由美國國家標準技術研究所 (NIST) 標準化的抗量子數位簽章演算法,可協助防範擁有大型量子電腦的威脅執行者。ML-DSA 對使用憑證授權單位發出之 X.509 憑證對 AWS 進行工作負載驗證的 IAM Roles Anywhere 客戶格外有價值。在這些情況下,弱化的簽章演算法可允許非預期使用者發行憑證,並獲得未經授權的存取權限。
IAM Roles Anywhere 可讓在 AWS 以外執行的工作負載使用 X.509 憑證取得臨時 AWS 憑證,以存取 AWS 資源。您可以透過參考 AWS 私有憑證認證機構或使用 IAM Roles Anywhere 註冊您自己的憑證認證機構 (CA) 來建立信任錨,在 AWS 環境與公開金鑰基礎架構 (PKI) 之間建立信任。現在,您可以使用 ML-DSA 簽署的 CA 憑證作為 IAM Roles Anywhere 信任錨,並簽發綁定至 ML-DSA 金鑰的終端實體憑證。
此功能適用於所有提供 IAM Roles Anywhere 的 AWS 區域,包括 AWS GovCloud (美國) 區域、AWS European Sovereign Cloud (德國) 區域和中國地區。若要進一步了解,請參閱 IAM Roles Anywhere 使用者指南。