发布于: Nov 20, 2024
今天,Amazon Security Token Service(STS)宣布支持使用椭圆曲线数字签名算法(ECDSA)密钥对 OpenID Connect(OIDC)JSON Web 令牌(JWT)进行数字签名。数字签名保证 JWT 的真实性和完整性,而 ECDSA 是一种常用的数字签名算法。当您的身份提供者(IdP)对用户进行身份验证时,会制作一个代表该用户身份的签名 OIDC JWT。当经过身份验证的用户调用 AssumeRoleWithWebIdentity API 并传递其 OIDC JWT 时,STS 会提供短期凭证,允许您访问受保护的亚马逊云科技资源。
现在,当您的 IdP 对 OIDC JWT 进行数字签名时,您可以选择使用 RSA 和 ECDSA 密钥。要开始对 OIDC IdP 使用 ECDSA 密钥,请使用新的密钥信息更新 IdP 的 JWKS 文档。无需更改您的 Amazon Identity and Access Management(IAM)配置,即可使用基于 ECDSA 的 OIDC JWT 签名。
对基于 ECDSA 的 OIDC JWT 签名的支持现已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。
要了解有关使用 OIDC 对用户和工作负载进行身份验证的更多信息,请访问 IAM 用户指南中的 OIDC 联合身份验证。