Aidez à améliorer cette page
Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment Amazon EKS travaille avec IAM
Avant IAM de gérer l'accès à AmazonEKS, vous devez connaître les IAM fonctionnalités disponibles sur AmazonEKS. Pour obtenir une vue d'ensemble de la façon dont Amazon EKS et les autres AWS services fonctionnent avecIAM, consultez la section AWS Services compatibles IAM dans le Guide de IAM l'utilisateur.
Rubriques
Politiques basées sur EKS l'identité d'Amazon
Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions et les ressources autorisées ou refusées ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon EKS prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la référence aux éléments de IAM JSON politique dans le Guide de IAM l'utilisateur.
Actions
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L'Actionélément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les actions avec autorisation uniquement qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.
Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques sur Amazon EKS utilisent le préfixe suivant avant l'action :eks:. Par exemple, pour autoriser quelqu'un à obtenir des informations descriptives sur un EKS cluster Amazon, vous devez inclure l'DescribeClusteraction dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
"Action": ["eks:action1", "eks:action2"]
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante :
"Action": "eks:Describe*"
Pour consulter la liste des EKS actions Amazon, consultez la section Actions définies par Amazon Elastic Kubernetes Service dans le Service Authorization Reference.
Ressources
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L'élément Resource JSON de stratégie indique le ou les objets auxquels s'applique l'action. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de spécifier une ressource à l'aide de son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.
Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.
"Resource": "*"
La ressource du EKS cluster Amazon possède les caractéristiques suivantesARN.
arn:aws:eks:region-code:account-id:cluster/cluster-name
Pour plus d'informations sur le format deARNs, consultez Amazon resource names (ARNs) et espaces de noms AWS de services Amazon.
Par exemple, pour spécifier le cluster dont le nom figure my-cluster
"Resource": "arn:aws:eks:region-code:111122223333:cluster/my-cluster"
Pour spécifier tous les clusters appartenant à un compte spécifique et Région AWS utiliser le caractère générique (*) :
"Resource": "arn:aws:eks:region-code:111122223333:cluster/*"
Certaines EKS actions Amazon, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).
"Resource": "*"
Pour consulter la liste des types de EKS ressources Amazon et leurs caractéristiquesARNs, consultez la section Ressources définies par Amazon Elastic Kubernetes Service dans le Service Authorization Reference. Pour savoir avec quelles actions vous pouvez spécifier pour chaque ressource, consultez Actions définies par Amazon Elastic Kubernetes Service. ARN
Clés de condition
Amazon EKS définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir Clés contextuelles de condition AWS globale dans le guide de IAM l'utilisateur.
Vous pouvez définir des clés de condition lors de l'association d'un fournisseur OpenID Connect à votre cluster. Pour de plus amples informations, veuillez consulter Exemple IAM de politique.
Toutes les EC2 actions Amazon prennent en charge les clés de ec2:Region condition aws:RequestedRegion et. Pour plus d'informations, voir Exemple : restriction de l'accès à un élément spécifique Région AWS.
Pour obtenir la liste des clés de EKS condition Amazon, consultez la section Conditions définies par Amazon Elastic Kubernetes Service dans le Service Authorization Reference. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service.
Exemples
Pour consulter des exemples de politiques EKS basées sur l'identité d'Amazon, consultez. Exemples de politiques EKS basées sur l'identité d'Amazon
Lorsque vous créez un EKS cluster Amazon, le IAMprincipal qui crée le cluster reçoit automatiquement des system:masters autorisations dans la configuration du contrôle d'accès basé sur les rôles (RBAC) du cluster dans le plan de EKS contrôle Amazon. Ce principal n'apparaît dans aucune configuration visible. Souvenez-vous donc du principal qui a créé le cluster à l'origine. Pour accorder à IAM des principaux supplémentaires la possibilité d'interagir avec votre cluster, modifiez le contenu aws-auth ConfigMap Kubernetes et créez un Kubernetes rolebinding ou clusterrolebinding avec le nom d'un group que vous spécifiez dans leaws-auth ConfigMap.
Pour plus d'informations sur l'utilisation du ConfigMap, consultezAccorder IAM aux utilisateurs et aux rôles l'accès à Kubernetes APIs.
Politiques basées sur EKS les ressources d'Amazon
Amazon EKS ne prend pas en charge les politiques basées sur les ressources.
Autorisation basée sur les EKS tags Amazon
Vous pouvez associer des balises aux EKS ressources Amazon ou transmettre des balises dans une demande adressée à AmazonEKS. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’élément de condition d’une politique utilisant les clés de condition aws:ResourceTag/, key-nameaws:RequestTag/ ou key-nameaws:TagKeys. Pour plus d'informations sur le balisage des EKS ressources Amazon, consultezOrganisez les EKS ressources Amazon à l'aide de balises. Pour plus d'informations sur les actions avec lesquelles vous pouvez utiliser des balises dans les clés de condition, consultez la section Actions définies par Amazon EKS dans le Service Authorization Reference.
EKSIAMRôles Amazon
Un IAMrôle est une entité de votre AWS compte qui possède des autorisations spécifiques.
Utilisation d'informations d'identification temporaires avec Amazon EKS
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération, assumer un IAM rôle ou assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS STS API des opérations telles que AssumeRoleou GetFederationToken.
Amazon EKS prend en charge l'utilisation d'informations d'identification temporaires.
Rôles liés à un service
Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre IAM compte et appartiennent au service. Un administrateur peut afficher, mais ne peut pas modifier les autorisations concernant les rôles liés à un service.
Amazon EKS prend en charge les rôles liés aux services. Pour en savoir plus sur la création ou la gestion des rôles EKS liés aux services Amazon, consultez. Utilisation de rôles liés à un service pour Amazon EKS
Rôles de service
Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre IAM compte et sont détenus par le compte. Cela signifie qu'un IAM administrateur peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
Amazon EKS prend en charge les rôles de service. Pour plus d’informations, consultez IAMRôle EKS du cluster Amazon et Rôle IAM de nœud Amazon EKS.
Choisir un IAM rôle au sein d'Amazon EKS
Lorsque vous créez une ressource de cluster dans AmazonEKS, vous devez choisir un rôle pour permettre à Amazon d'accéder EKS à plusieurs autres AWS ressources en votre nom. Si vous avez déjà créé un rôle de service, Amazon vous EKS fournit une liste de rôles parmi lesquels choisir. Il est important de choisir un rôle auquel sont associées les politiques EKS gérées par Amazon. Pour plus d’informations, consultez Recherche d'un rôle de cluster existant et Recherche d'un rôle de nœud existant.
