IAM Roles Anywhere 现在对 CreateSession API 强制实施 VPC 端点策略

发布于: 2026年4月30日

Amazon Identity and Access Management（IAM）Roles Anywhere现在能够为 IAM Roles Anywhere CreateSession API 配置虚拟私有云（VPC）端点策略。您可以更新您的 VPC 端点策略，以允许或拒绝 CreateSession 操作。如果您的 VPC 端点策略的允许语句中未明确包含 CreateSession，或者您未允许所有操作（例如通过指定“rolesanywhere:*”作为操作），则 IAM Roles Anywhere 不会为通过 VPC 端点发出的请求返回临时 Amazon 凭证。

CreateSession API 允许在 Amazon 外部运行的工作负载使用 X.509 凭证获取临时 Amazon 凭证，以访问亚马逊云科技资源。此前，VPC 端点策略适用于除 CreateSession 之外的所有 IAM Roles Anywhere 操作。本次发布填补了这一缺口，为您提供覆盖所有 IAM Roles Anywhere API 操作的统一、细粒度访问控制。

IAM Roles Anywhere 已在由光环新网运营的亚马逊云科技中国（北京）区域和由西云数据运营的亚马逊云科技中国（宁夏）区域推出。要了解更多信息，请参阅《IAM Roles Anywhere 用户指南》。