Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Referenzierung von Berechtigungssätzen in Ressourcenrichtlinien, Amazon EKS Cluster-Konfigurationszuordnungen und AWS KMS wichtigen Richtlinien
Wenn Sie einem AWS Konto einen Berechtigungssatz zuweisen, erstellt IAM Identity Center eine Rolle mit einem Namen, der mit AWSReservedSSO_
beginnt.
Der vollständige Name und der Amazon-Ressourcenname (ARN) für die Rolle verwenden das folgende Format:
Name | ARN |
---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Wenn Ihre Identitätsquelle in IAM Identity Center in us-east-1 gehostet wird, gibt es keine aws-region
in der. ARN Für den vollständigen Namen und ARN für die Rolle wird das folgende Format verwendet:
Name | ARN |
---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Wenn Sie beispielsweise einen Berechtigungssatz erstellen, der Datenbankadministratoren AWS Kontozugriff gewährt, wird eine entsprechende Rolle mit dem folgenden Namen erstellt undARN:
Name | ARN |
---|---|
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef
|
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef |
Wenn Sie alle Zuweisungen zu diesem Berechtigungssatz im AWS Konto löschen, wird die entsprechende Rolle, die IAM Identity Center erstellt hat, ebenfalls gelöscht. Wenn Sie demselben Berechtigungssatz später eine neue Zuweisung zuweisen, erstellt IAM Identity Center eine neue Rolle für den Berechtigungssatz. Der Name und ARN die neue Rolle enthalten ein anderes, eindeutiges Suffix. In diesem Beispiel lautet das eindeutige Suffix abcdef0123456789.
Name | ARN |
---|---|
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
Die Änderung des Suffixes im neuen Namen und ARN für die Rolle hat zur Folge, dass alle Richtlinien, die auf den ursprünglichen Namen verweisen, auch sind, wodurch der Zugriff für Personen, die den ARN entsprechenden Berechtigungssatz verwenden out-of-date, unterbrochen wird. Beispielsweise wird durch eine Änderung des Begriffs ARN für die Rolle der Zugriff für Benutzer des Berechtigungssatzes unterbrochen, wenn in den folgenden Konfigurationen auf das Original verwiesen ARN wird:
-
In der
aws-auth ConfigMap
Datei für Amazon Elastic Kubernetes Service (AmazonEKS) -Cluster, wenn Sie denaws-auth ConfigMap
für den Clusterzugriff verwenden. -
In einer ressourcenbasierten Richtlinie für einen AWS Key Management Service () -Schlüssel.AWS KMS Diese Richtlinie wird auch als Schlüsselrichtlinie bezeichnet.
Anmerkung
Wir empfehlen Ihnen, Amazon EKS Access-Einträge zu verwenden, um den Zugriff auf Ihre EKS Amazon-Cluster zu verwalten. Auf diese Weise können Sie IAM Berechtigungen verwenden, um die Principals zu verwalten, die Zugriff auf einen EKS Amazon-Cluster haben. Durch die Verwendung von Amazon EKS Access-Einträgen können Sie einen IAM Principal mit EKS Amazon-Berechtigungen verwenden, um wieder Zugriff auf einen Cluster zu erhalten, ohne Kontakt aufzunehmen AWS Support.
Sie können zwar die ressourcenbasierten Richtlinien für die meisten AWS Dienste aktualisieren, um auf eine neue ARN Rolle zu verweisen, die einem Berechtigungssatz entspricht, aber Sie müssen über eine Backup-Rolle verfügen, die Sie in IAM für Amazon EKS und AWS KMS falls sich die ARN Änderungen ändern, erstellen. Für Amazon EKS muss die IAM Backup-Rolle in der existierenaws-auth ConfigMap
. Denn AWS KMS sie muss in Ihren wichtigsten Richtlinien enthalten sein. Wenn Sie nicht über eine IAM Backup-Rolle mit Berechtigungen zum Aktualisieren der aws-auth ConfigMap
oder der AWS KMS Schlüsselrichtlinie verfügen, wenden Sie sich an uns, AWS Support um wieder Zugriff auf diese Ressourcen zu erhalten.
Empfehlungen zur Vermeidung von Zugriffsunterbrechungen
Um Zugriffsunterbrechungen aufgrund von Änderungen an der Rolle, die ARN einem Berechtigungssatz entspricht, zu vermeiden, empfehlen wir Ihnen, wie folgt vorzugehen.
-
Behalten Sie mindestens eine Berechtigungssatzzuweisung bei.
Behalten Sie diese Zuweisung in den AWS Konten bei, die die Rollen enthalten, auf die Sie in den
aws-auth ConfigMap
für AmazonEKS, in den wichtigsten Richtlinien in AWS KMS oder in den ressourcenbasierten Richtlinien für andere verweisen. AWS-ServicesWenn Sie beispielsweise einen
EKSAccess
Berechtigungssatz erstellen und auf die entsprechende Rolle ARN aus dem AWS Konto verweisen111122223333
, weisen Sie dem Berechtigungssatz in diesem Konto dauerhaft eine administrative Gruppe zu. Da die Zuweisung dauerhaft ist, löscht IAM Identity Center die entsprechende Rolle nicht, wodurch das Risiko einer Umbenennung entfällt. Die administrative Gruppe hat immer Zugriff, ohne dass das Risiko einer Rechteerweiterung besteht. -
Für EKS Amazon-Cluster, die verwenden
aws-auth ConfigMap
und AWS KMS: Fügen Sie eine Rolle hinzu, die in erstellt wurdeIAM.Wenn Sie bei ARNs Berechtigungssätzen in einem EKS Cluster
aws-auth ConfigMap
für Amazon oder in wichtigen Richtlinien für AWS KMS Schlüssel auf Rollen verweisen, empfehlen wir, dass Sie auch mindestens eine Rolle angeben, die Sie in erstellenIAM. Die Rolle muss Ihnen den Zugriff auf den EKS Amazon-Cluster oder die Verwaltung der AWS KMS wichtigsten Richtlinien ermöglichen. Der Berechtigungssatz muss in der Lage sein, diese Rolle anzunehmen. Wenn sich die Rolle ARN für einen Berechtigungssatz ändert, können Sie auf diese Weise den Verweis auf die Richtlinie ARN in der AWS KMS Schlüsselrichtlinieaws-auth ConfigMap
oder aktualisieren. Der nächste Abschnitt enthält ein Beispiel dafür, wie Sie eine Vertrauensrichtlinie für eine Rolle erstellen können, die in erstellt wurdeIAM. Die Rolle kann nur durch einenAdministratorAccess
Berechtigungssatz übernommen werden.
Beispiel für eine benutzerdefinierte Vertrauensrichtlinie
Im Folgenden finden Sie ein Beispiel für eine benutzerdefinierte Vertrauensrichtlinie, die einem AdministratorAccess
Berechtigungssatz Zugriff auf eine Rolle gewährt, die in erstellt wurdeIAM. Zu den wichtigsten Elementen dieser Richtlinie gehören:
-
Das Hauptelement dieser Vertrauensrichtlinie legt einen AWS Kontohauptmann fest. In dieser Richtlinie können Prinzipale im AWS Konto
111122223333
mitsts:AssumeRole
Berechtigungen die Rolle übernehmen, die in IAM erstellt wurde. -
Diese Vertrauensrichtlinie legt zusätzliche Anforderungen für Prinzipale fest, die die in erstellte Rolle übernehmen können.
Condition element
IAM In dieser Richtlinie ARN kann der Berechtigungssatz mit der folgenden Rolle die Rolle übernehmen.arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
Anmerkung
Das
Condition
Element enthält denArnLike
Bedingungsoperator und verwendet anstelle eines eindeutigen Suffixes einen Platzhalter am Ende der Berechtigungssatz-RolleARN. Das bedeutet, dass die Richtlinie es dem Berechtigungssatz ermöglicht, die in erstellte Rolle anzunehmen, IAM auch wenn sich die Rolle ARN für den Berechtigungssatz ändert.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*" } } } ] }
Durch die Aufnahme einer Rolle, die Sie IAM in einer solchen Richtlinie erstellen, erhalten Sie Notfallzugriff auf Ihre EKS Amazon-Cluster oder andere AWS Ressourcen AWS KMS keys, falls ein Berechtigungssatz oder alle Zuweisungen zum Berechtigungssatz versehentlich gelöscht und neu erstellt werden.