Hacer referencia a conjuntos de permisos en las políticas de recursos, los mapas de configuración de Amazon EKS Cluster y las políticas AWS KMS clave - AWS IAM Identity Center
Recomendaciones para evitar interrupciones en el accesoEjemplo de políticas de confianza personalizadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Hacer referencia a conjuntos de permisos en las políticas de recursos, los mapas de configuración de Amazon EKS Cluster y las políticas AWS KMS clave

Al asignar un conjunto de permisos a una AWS cuenta, IAM Identity Center crea un rol con un nombre que comienza por. AWSReservedSSO_

El nombre completo y el nombre del recurso de Amazon (ARN) del rol utilizan el siguiente formato:

Nombre ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO_permission-set-name_unique-suffix

Si su fuente de IAM identidad en Identity Center está alojada en us-east-1, no hay aws-region ninguna en el. ARN El nombre completo y ARN el rol utilizan el siguiente formato:

Nombre ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_permission-set-name_unique-suffix

Por ejemplo, si crea un conjunto de permisos que concede acceso a la AWS cuenta a los administradores de bases de datos, se crea el rol correspondiente con el siguiente nombre yARN:

Nombre ARN
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef

Si elimina todas las asignaciones a este conjunto de permisos de la AWS cuenta, también se eliminará el rol correspondiente que creó IAM Identity Center. Si más adelante realiza una nueva asignación al mismo conjunto de permisos, IAM Identity Center crea un nuevo rol para el conjunto de permisos. El nombre y ARN el nuevo rol incluyen un sufijo diferente y único. En este ejemplo, el sufijo único es abcdef0123456789.

Nombre ARN
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789

El cambio de sufijo en el nuevo nombre y ARN en el rol provocará que cualquier política que haga referencia al nombre original o ARN a ella sea out-of-date, lo que interrumpirá el acceso de las personas que usen el conjunto de permisos correspondiente. Por ejemplo, un cambio en el ARN rol interrumpirá el acceso de los usuarios del conjunto de permisos si ARN se hace referencia al original en las siguientes configuraciones:

  • En el aws-auth ConfigMap archivo de los clústeres de Amazon Elastic Kubernetes Service (EKSAmazon) cuando los utiliza para el acceso a los clústeres. aws-auth ConfigMap

  • En una política basada en recursos para una clave (). AWS Key Management Service AWS KMS Esta política también se denomina política de claves.

nota

Te recomendamos que utilices las entradas de EKS acceso de Amazon para gestionar el acceso a tus EKS clústeres de Amazon. Esto te permite usar IAM los permisos para administrar los principales que tienen acceso a un EKS clúster de Amazon. Al utilizar las entradas de EKS acceso de Amazon, puede utilizar un responsable con EKS permisos IAM de Amazon para recuperar el acceso a un clúster sin necesidad de ponerse en contacto con él AWS Support.

Si bien puedes actualizar las políticas basadas en recursos de la mayoría de AWS los servicios ARN para que hagan referencia a una nueva función que corresponda a un conjunto de permisos, debes tener una función de respaldo que crees para IAM Amazon EKS y AWS KMS si esta cambia. ARN En el caso de AmazonEKS, la IAM función de copia de seguridad debe existir enaws-auth ConfigMap. Para ello AWS KMS, debe estar en sus políticas clave. Si no tiene una IAM función de respaldo con permisos para actualizar la política aws-auth ConfigMap o la política AWS KMS clave, póngase en contacto con nosotros AWS Support para recuperar el acceso a esos recursos.

Recomendaciones para evitar interrupciones en el acceso

Para evitar interrupciones en el acceso debido a cambios en el ARN rol correspondiente a un conjunto de permisos, le recomendamos que haga lo siguiente.

  • Mantenga al menos una asignación de conjunto de permisos.

    Mantenga esta asignación en las AWS cuentas que contienen las funciones a las que hace referencia en AmazonEKS, en las políticas clave o en AWS KMS las políticas basadas en recursos para otras. aws-auth ConfigMap Servicios de AWS

    Por ejemplo, si crea un conjunto de EKSAccess permisos y hace referencia al rol correspondiente ARN desde la AWS cuenta111122223333, asigna permanentemente un grupo administrativo al conjunto de permisos de esa cuenta. Como la asignación es permanente, IAM Identity Center no eliminará el rol correspondiente, lo que elimina el riesgo de cambiar el nombre. El grupo administrativo siempre tendrá acceso sin correr el riesgo de que se incrementen los privilegios.

  • Para EKS los clústeres de Amazon que utilizan aws-auth ConfigMap y AWS KMS: incluyen un rol creado enIAM.

    Si haces referencia a un rol ARNs para los conjuntos de permisos de un aws-auth ConfigMap EKS clúster de Amazon o a las políticas clave para AWS KMS las claves, te recomendamos que también incluyas al menos un rol que hayas creadoIAM. El rol debe permitirte acceder al EKS clúster de Amazon o gestionar la política AWS KMS clave. El conjunto de permisos debe poder asumir este rol. De esta forma, si el rol ARN de un conjunto de permisos cambia, puedes actualizar la referencia a ARN la política AWS KMS clave aws-auth ConfigMap o. En la siguiente sección se proporciona un ejemplo de cómo se puede crear una política de confianza para un rol creado enIAM. El rol solo lo puede asumir un conjunto de permisos de AdministratorAccess.

Ejemplo de políticas de confianza personalizadas

A continuación se muestra un ejemplo de una política de confianza personalizada que proporciona un conjunto de AdministratorAccess permisos con acceso a un rol creado enIAM. Entre los elementos clave de esta base, se incluyen los siguientes:

  • El elemento principal de esta política de confianza especifica el principal de una AWS cuenta. En esta política, los directores de la AWS cuenta 111122223333 con sts:AssumeRole permisos pueden asumir la función en IAM la que se creó.

  • Esta política Condition element de confianza especifica requisitos adicionales para los directores que pueden asumir el rol creado en. IAM En esta política, el conjunto de permisos con el siguiente rol ARN puede asumir el rol.

    arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
    nota

    El Condition elemento incluye el operador de ArnLike condición y utiliza un comodín al final de la función del conjunto de permisosARN, en lugar de un sufijo único. Esto significa que la política permite que el conjunto de permisos asuma el rol creado en el conjunto de permisos IAM incluso si el rol del conjunto ARN de permisos cambia. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
        }
      }
    }
  ]
}

    Si incluyes un rol que crees IAM en una política de este tipo, AWS KMS keys tendrás acceso de emergencia a tus EKS clústeres de Amazon u otros AWS recursos si un conjunto de permisos o todas las asignaciones del conjunto de permisos se eliminan y se vuelven a crear accidentalmente.