Hacer referencia a conjuntos de permisos en las políticas de recursos, Amazon EKS y AWS KMS - AWS IAM Identity Center
Recomendaciones para evitar interrupciones en el accesoEjemplo de políticas de confianza personalizadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Hacer referencia a conjuntos de permisos en las políticas de recursos, Amazon EKS y AWS KMS

Al asignar un conjunto de permisos a una AWS cuenta, el Centro de Identidad de IAM crea un rol con un nombre que comienza por. AWSReservedSSO_

El nombre completo y el nombre de recurso de Amazon (ARN) del rol utilizan el siguiente formato:

Nombre ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO_permission-set-name_unique-suffix

Por ejemplo, si crea un conjunto de permisos que concede acceso a la AWS cuenta a los administradores de bases de datos, se crea el rol correspondiente con el siguiente nombre y ARN:

Nombre ARN
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef

Si elimina todas las asignaciones a este conjunto de permisos de la AWS cuenta, también se eliminará el rol correspondiente que creó IAM Identity Center. Si más adelante realiza una nueva asignación al mismo conjunto de permisos, IAM Identity Center crea un nuevo rol para el conjunto de permisos. El nombre y el ARN del nuevo rol incluyen un sufijo diferente y único. En este ejemplo, el sufijo único es abcdef0123456789.

Nombre ARN
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789

El cambio de sufijo en el nuevo nombre y ARN del rol provocará que cualquier política que haga referencia al nombre y al ARN originales lo out-of-date sea, lo que interrumpirá el acceso de las personas que usen el conjunto de permisos correspondiente. Por ejemplo, un cambio en el ARN del rol interrumpirá el acceso de los usuarios del conjunto de permisos si se hace referencia al ARN original en las siguientes configuraciones:

  • En el fichero aws-auth ConfigMap para Amazon Elastic Kubernetes Service (Amazon EKS)

  • En una política basada en recursos para una clave (). AWS Key Management Service AWS KMS Esta política también se denomina política de claves.

Si bien puede actualizar las políticas basadas en recursos de la mayoría de AWS los servicios para que hagan referencia a un nuevo ARN para un rol que corresponda a un conjunto de permisos, debe tener un rol de respaldo que cree en IAM para Amazon EKS si AWS KMS el ARN cambia. En el caso de Amazon EKS, el rol de IAM de respaldo debe existir en aws-auth ConfigMap. Para AWS KMS, debe existir en sus políticas de claves. Si no tiene un rol de IAM de respaldo en ninguno de los 2 casos, debe ponerse en contacto con AWS Support.

Recomendaciones para evitar interrupciones en el acceso

Para evitar interrupciones en el acceso debido a cambios en el ARN de un rol que corresponde a un conjunto de permisos, le recomendamos que haga lo siguiente.

  • Mantenga al menos una asignación de conjunto de permisos.

    Mantenga esta asignación en las AWS cuentas que contienen las funciones a las que hace referencia en Amazon EKS, en las políticas clave o en AWS KMS las políticas basadas en recursos para otras. aws-auth ConfigMap Servicios de AWS

    Por ejemplo, si crea un conjunto de EKSAccess permisos y hace referencia al ARN de rol correspondiente desde la AWS cuenta111122223333, asigna permanentemente un grupo administrativo al conjunto de permisos de esa cuenta. Como la asignación es permanente, IAM Identity Center no eliminará el rol correspondiente, lo que elimina el riesgo de cambiar el nombre. El grupo administrativo siempre tendrá acceso sin correr el riesgo de que se incrementen los privilegios.

  • Para Amazon EKS y AWS KMS: incluya un rol creado en IAM.

    Si hace referencia a los ARN de los roles para los conjuntos de permisos de una aws-auth ConfigMap para un clúster de Amazon EKS o en las políticas clave para las claves de AWS KMS , le recomendamos que también incluya al menos un rol que cree en IAM. El rol debe permitirle acceder al clúster de Amazon EKS o administrar la política AWS KMS clave. El conjunto de permisos debe poder asumir este rol. De esta forma, si el ARN del rol de un conjunto de permisos cambia, puede actualizar la referencia al ARN en la aws-auth ConfigMap política clave o. AWS KMS En la siguiente sección, se proporciona un ejemplo de cómo se puede crear una política de confianza para un rol creado en IAM. El rol solo lo puede asumir un conjunto de permisos de AdministratorAccess.

Ejemplo de políticas de confianza personalizadas

A continuación se muestra un ejemplo de una política de confianza personalizada que proporciona un conjunto de AdministratorAccess permisos con acceso a un rol creado en IAM. Entre los elementos clave de esta base, se incluyen los siguientes:

  • El elemento principal de esta política de confianza especifica el principal de una AWS cuenta. En esta política, los directores de la AWS cuenta 111122223333 con sts:AssumeRole permisos pueden asumir la función que se creó en IAM.

  • El Condition element de esta política de confianza especifica requisitos adicionales para las entidades principales que pueden asumir el rol creado en IAM. En esta política, el conjunto de permisos con el siguiente rol ARN puede asumir el rol.

    arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
    nota

    El elemento Condition incluye el operador de condiciones ArnLike y utiliza un comodín al final del ARN del rol de permisos, en lugar de un sufijo único. Esto significa que la política permite que el conjunto de permisos asuma el rol creado en IAM incluso si el ARN del rol del conjunto de permisos cambia. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
        }
      }
    }
  ]
}

    La inclusión de un rol que cree en IAM en dicha política le proporcionará acceso de emergencia a sus clústeres de Amazon EKS u otros AWS recursos si un conjunto de permisos o todas las asignaciones al conjunto de permisos se eliminan y se vuelven a crear accidentalmente. AWS KMS keys