Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référencement des ensembles d'autorisations dans les politiques de ressources, les cartes de configuration du cluster Amazon EKS et les politiques AWS KMS clés
Lorsque vous attribuez un ensemble d'autorisations à un AWS compte, IAM Identity Center crée un rôle dont le nom commence AWSReservedSSO_ par.
Le nom complet et le nom Amazon Resource Name (ARN) du rôle utilisent le format suivant :
| Nom | ARN |
|---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Si votre source d'identité dans IAM Identity Center est hébergée dans us-east-1, il n'en existe aucune dans l'ARN. aws-region Le nom complet et l'ARN du rôle utilisent le format suivant :
| Nom | ARN |
|---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Par exemple, si vous créez un ensemble d'autorisations qui accorde l'accès au AWS compte aux administrateurs de base de données, un rôle correspondant est créé avec le nom et l'ARN suivants :
| Nom | ARN |
|---|---|
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef
|
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef |
Si vous supprimez toutes les attributions associées à cet ensemble d'autorisations dans le AWS compte, le rôle correspondant créé par IAM Identity Center est également supprimé. Si vous attribuez ultérieurement une nouvelle attribution au même ensemble d'autorisations, IAM Identity Center crée un nouveau rôle pour le jeu d'autorisations. Le nom et l'ARN du nouveau rôle incluent un suffixe différent et unique. Dans cet exemple, le suffixe unique est abcdef0123456789.
| Nom | ARN |
|---|---|
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
La modification du suffixe du nouveau nom et du nouveau ARN du rôle entraînera la création de toutes les politiques faisant référence au nom et à l'ARN d'origine out-of-date, ce qui perturbera l'accès des personnes utilisant l'ensemble d'autorisations correspondant. Par exemple, une modification de l'ARN du rôle perturbera l'accès des utilisateurs à l'ensemble d'autorisations si l'ARN d'origine est référencé dans les configurations suivantes :
-
Dans le
aws-auth ConfigMapfichier relatif aux clusters Amazon Elastic Kubernetes Service (Amazon EKS) lorsque vousaws-auth ConfigMaputilisez le pour accéder au cluster. -
Dans une politique basée sur les ressources pour une clé AWS Key Management Service (AWS KMS). Cette politique est également appelée politique clé.
Note
Nous vous recommandons d'utiliser les entrées d'accès Amazon EKS pour gérer l'accès à vos clusters Amazon EKS. Cela vous permet d'utiliser les autorisations IAM pour gérer les principaux ayant accès à un cluster Amazon EKS. En utilisant les entrées d'accès Amazon EKS, vous pouvez utiliser un principal IAM disposant des autorisations Amazon EKS pour accéder de nouveau à un cluster sans le contacter Support.
Bien que vous puissiez mettre à jour les politiques basées sur les ressources pour la plupart AWS des services afin de faire référence à un nouvel ARN pour un rôle correspondant à un ensemble d'autorisations, vous devez avoir un rôle de sauvegarde que vous devez créer dans IAM pour Amazon EKS et si AWS KMS l'ARN change. Pour Amazon EKS, le rôle IAM de sauvegarde doit exister dans leaws-auth ConfigMap. Car AWS KMS elle doit figurer dans vos politiques clés. Si vous ne disposez pas d'un rôle IAM de secours autorisé à mettre à jour la politique aws-auth ConfigMap ou la politique AWS KMS clé, contactez-nous Support pour retrouver l'accès à ces ressources.
Recommandations pour éviter les interruptions d'accès
Pour éviter les interruptions d'accès dues à des modifications de l'ARN d'un rôle correspondant à un ensemble d'autorisations, nous vous recommandons de procéder comme suit.
-
Conservez au moins une attribution d'ensemble d'autorisations.
Conservez cette attribution dans les AWS comptes qui contiennent les rôles auxquels vous faites référence dans le
aws-auth ConfigMapcas d'Amazon EKS, les politiques clés dans AWS KMS Amazon EKS ou les politiques basées sur les ressources pour les autres. Services AWSPar exemple, si vous créez un ensemble d'
EKSAccessautorisations et que vous référencez l'ARN du rôle correspondant à partir du AWS compte111122223333, attribuez définitivement un groupe administratif au jeu d'autorisations de ce compte. L'attribution étant permanente, IAM Identity Center ne supprimera pas le rôle correspondant, ce qui élimine le risque de changement de nom. Le groupe administratif y aura toujours accès sans risque d'augmentation de privilèges. -
Pour les clusters Amazon EKS qui utilisent
aws-auth ConfigMapet AWS KMS : incluez un rôle créé dans IAM.Si vous faites référence à un rôle ARNs pour des ensembles d'autorisations dans un
aws-auth ConfigMapcluster Amazon EKS ou dans des politiques AWS KMS clés relatives aux clés, nous vous recommandons d'inclure également au moins un rôle que vous créez dans IAM. Le rôle doit vous permettre d'accéder au cluster Amazon EKS ou de gérer la politique AWS KMS clé. L'ensemble d'autorisations doit être en mesure d'assumer ce rôle. Ainsi, si l'ARN du rôle d'un ensemble d'autorisations change, vous pouvez mettre à jour la référence à l'ARN dans la politique AWS KMS cléaws-auth ConfigMapor. La section suivante fournit un exemple de la manière dont vous pouvez créer une politique de confiance pour un rôle créé dans IAM. Le rôle ne peut être assumé que par un ensemble d'AdministratorAccessautorisations.
Exemple de politique de confiance personnalisée
Voici un exemple de politique de confiance personnalisée qui fournit un ensemble d'AdministratorAccessautorisations permettant d'accéder à un rôle créé dans IAM. Les principaux éléments de cette politique sont les suivants :
-
L'élément principal de cette politique de confiance spécifie un principal de AWS compte. Dans cette politique, les responsables du AWS compte
111122223333disposant d'sts:AssumeRoleautorisations peuvent assumer le rôle créé dans IAM. -
Cette politique
Condition elementde confiance définit des exigences supplémentaires pour les principaux qui peuvent assumer le rôle créé dans IAM. Dans cette politique, l'ensemble d'autorisations avec le rôle ARN suivant peut assumer le rôle.arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"Note
L'
Conditionélément inclut l'opérateur deArnLikecondition et utilise un caractère générique à la fin de l'ARN du rôle défini d'autorisations, plutôt qu'un suffixe unique. Cela signifie que la politique permet à l'ensemble d'autorisations d'assumer le rôle créé dans IAM même si l'ARN du rôle pour l'ensemble d'autorisations change.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*" } } } ] }L'inclusion d'un rôle que vous créez dans IAM dans une telle politique vous fournira un accès d'urgence à vos clusters Amazon EKS ou à d'autres AWS ressources si un ensemble d'autorisations ou toutes les attributions à l'ensemble d'autorisations sont accidentellement supprimés et recréés. AWS KMS keys
