Thông báo hỗ trợ AWS STS cho chữ ký dựa trên ECDSA của mã thông báo OIDC
Hôm nay, Dịch vụ mã thông báo bảo mật của AWS (STS) sẽ công bố dịch vụ hỗ trợ ký mã thông báo web JSON (JWT) kỹ thuật số của OpenID Connect (OIDC) bằng cách sử dụng khóa Thuật toán chữ ký số đường cong Elliptic (ECDSA). Chữ ký số đảm bảo tính xác thực và tính toàn vẹn của JWT và ECDSA là một thuật toán chữ ký số phổ biến, được NIST phê duyệt. Khi nhà cung cấp danh tính (IdP) của bạn xác thực người dùng, hệ thống sẽ tạo ra một OIDC JWT đã ký mã, đại diện cho danh tính của người dùng đó. Khi người dùng đã xác thực của bạn gọi API AssumeRoleWithWebIdentity và chuyển OIDC JWT của họ, STS sẽ bán thông tin xác thực ngắn hạn cho phép truy cập vào tài nguyên AWS được bảo vệ của bạn.
Bây giờ, bạn có thể chọn sử dụng khóa RSA hoặc ECDSA khi IdP của bạn ký số một OIDC JWT. Để bắt đầu sử dụng khóa ECDSA với IDC IdP của bạn, hãy cập nhật tài liệu JWKS của IdP với thông tin khóa mới. Không cần thay đổi cấu hình Quản lý danh tính và truy cập trong AWS (AWS IAM) để sử dụng chữ ký dựa trên ECDSA của OIDC JWT của bạn.
Dịch vụ hỗ trợ chữ ký dựa trên ECDSA của OIDC JWT có sẵn ở tất cả các Khu vực AWS, bao gồm cả Khu vực AWS GovCloud (Hoa Kỳ).
Để tìm hiểu thêm về cách sử dụng OIDC để xác thực người dùng và khối lượng công việc của bạn, vui lòng truy cập Liên kết OIDC trong Hướng dẫn người dùng IAM.