IAM Roles Anywhere 现已支持抗量子数字证书

发布于: 2026年3月9日

Amazon Identity and Access Management（IAM）Roles Anywhere 现在支持 FIPS 204 Module-Lattice 数字签名标准（ML‑DSA），这是由美国国家标准与技术研究院（NIST）制定的抗量子数字签名算法，有助于防范拥有大规模量子计算机的威胁行为者。 对于使用证书颁发机构签发的 X.509 证书对 Amazon 工作负载进行身份验证的 IAM Roles Anywhere 客户而言，ML‑DSA 尤其有价值。如果签名算法存在弱点，可能导致未授权用户签发证书并获取未经授权的访问权限。

IAM Roles Anywhere 允许在 Amazon 外部运行的工作负载使用 X.509 凭证获取临时 Amazon 凭证，以访问亚马逊云科技资源。您可以通过通过引用亚马逊云科技私有证书颁发机构，或者向 IAM Roles Anywhere 注册自有证书颁发机构（CA）来创建信任锚，从而在亚马逊云科技环境和公钥基础设施（PKI）之间建立信任关系。现在，您可以将 ML‑DSA 签名的 CA 证书用作 IAM Roles Anywhere 信任锚，并颁发绑定 ML‑DSA 密钥的终端实体证书。

IAM Roles Anywhere 已在由光环新网运营的亚马逊云科技中国（北京）区域和由西云数据运营的亚马逊云科技中国（宁夏）区域推出。要了解更多信息，请参阅《IAM Roles Anywhere 用户指南》。