Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référencement des ensembles d'autorisations dans les politiques de ressources, les cartes de configuration Amazon EKS Cluster et les politiques AWS KMS clés
Lorsque vous attribuez un ensemble d'autorisations à un AWS compte, IAM Identity Center crée un rôle dont le nom commence parAWSReservedSSO_.
Le nom complet et le nom de ressource Amazon (ARN) du rôle utilisent le format suivant :
| Nom | ARN |
|---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Si votre source d'IAMidentité dans Identity Center est hébergée dans us-east-1, il n'y a pas aws-region dans leARN. Pour le nom complet et ARN pour le rôle, utilisez le format suivant :
| Nom | ARN |
|---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Par exemple, si vous créez un ensemble d'autorisations qui accorde l'accès au AWS compte aux administrateurs de base de données, un rôle correspondant est créé avec le nom suivant et ARN :
| Nom | ARN |
|---|---|
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef
|
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef |
Si vous supprimez toutes les attributions associées à cet ensemble d'autorisations dans le AWS compte, le rôle correspondant créé par IAM Identity Center est également supprimé. Si vous attribuez ultérieurement une nouvelle attribution au même ensemble d'autorisations, IAM Identity Center crée un nouveau rôle pour le jeu d'autorisations. Le nom et ARN le nouveau rôle incluent un suffixe différent et unique. Dans cet exemple, le suffixe unique est abcdef0123456789.
| Nom | ARN |
|---|---|
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
La modification du suffixe du nouveau nom et ARN du nouveau rôle entraînera la création de toute politique faisant référence au nom et ARN à l'origine out-of-date, ce qui perturbera l'accès des personnes utilisant l'ensemble d'autorisations correspondant. Par exemple, une modification du ARN rôle perturbera l'accès des utilisateurs à l'ensemble d'autorisations si l'original ARN est référencé dans les configurations suivantes :
-
Dans le
aws-auth ConfigMapfichier relatif aux clusters Amazon Elastic Kubernetes Service (EKSAmazon) lorsque vousaws-auth ConfigMaputilisez le pour accéder au cluster. -
Dans une politique basée sur les ressources pour une clé AWS Key Management Service (AWS KMS). Cette politique est également appelée politique clé.
Note
Nous vous recommandons d'utiliser les entrées EKS d'accès Amazon pour gérer l'accès à vos EKS clusters Amazon. Cela vous permet d'utiliser IAM des autorisations pour gérer les principaux ayant accès à un EKS cluster Amazon. En utilisant les entrées EKS d'accès Amazon, vous pouvez utiliser un IAM mandant autorisé par EKS Amazon pour accéder de nouveau à un cluster sans le contacter AWS Support.
Bien que vous puissiez mettre à jour les politiques basées sur les ressources pour la plupart des AWS services afin de faire référence à un nouveau ARN rôle correspondant à un ensemble d'autorisations, vous devez avoir un rôle de sauvegarde que vous devez créer dans IAM Amazon EKS et AWS KMS si celui-ci change. ARN Pour AmazonEKS, le IAM rôle de sauvegarde doit exister dans leaws-auth ConfigMap. Car AWS KMS elle doit figurer dans vos politiques clés. Si vous ne disposez pas d'un IAM rôle de secours autorisé à mettre à jour la politique aws-auth ConfigMap ou la politique AWS KMS clé, contactez-nous AWS Support pour retrouver l'accès à ces ressources.
Recommandations pour éviter les interruptions d'accès
Pour éviter les interruptions d'accès dues à des modifications apportées ARN à un rôle correspondant à un ensemble d'autorisations, nous vous recommandons de procéder comme suit.
-
Conservez au moins une attribution d'ensemble d'autorisations.
Conservez cette attribution dans les AWS comptes qui contiennent les rôles auxquels vous faites référence dans le
aws-auth ConfigMappour AmazonEKS, les politiques clés ou les politiques basées sur les ressources pour les autres. AWS KMS Services AWSPar exemple, si vous créez un ensemble d'
EKSAccessautorisations et que vous référencez le rôle correspondant ARN à partir du AWS compte111122223333, attribuez définitivement un groupe administratif au jeu d'autorisations de ce compte. L'attribution étant permanente, IAM Identity Center ne supprimera pas le rôle correspondant, ce qui élimine le risque de changement de nom. Le groupe administratif y aura toujours accès sans risque d'augmentation de privilèges. -
Pour les EKS clusters Amazon qui utilisent
aws-auth ConfigMapet AWS KMS : Incluez un rôle créé dansIAM.Si vous faites référence à un rôle ARNs pour
aws-auth ConfigMaples ensembles d'autorisations dans un EKS cluster Amazon ou dans les politiques AWS KMS clés relatives aux clés, nous vous recommandons d'inclure également au moins un rôle que vous créez dansIAM. Le rôle doit vous permettre d'accéder au EKS cluster Amazon ou de gérer la politique AWS KMS clé. L'ensemble d'autorisations doit être en mesure d'assumer ce rôle. Ainsi, si le rôle d'un ensemble ARN d'autorisations change, vous pouvez mettre à jour la référence à la politique AWS KMS clé ARN in theaws-auth ConfigMapor. La section suivante fournit un exemple de la manière dont vous pouvez créer une politique de confiance pour un rôle créé dansIAM. Le rôle ne peut être assumé que par un ensemble d'AdministratorAccessautorisations.
Exemple de politique de confiance personnalisée
Voici un exemple de politique de confiance personnalisée qui fournit un ensemble d'AdministratorAccessautorisations permettant d'accéder à un rôle créé dansIAM. Les principaux éléments de cette politique sont les suivants :
-
L'élément principal de cette politique de confiance spécifie un principal de AWS compte. Dans cette politique, les responsables du AWS compte
111122223333disposantsts:AssumeRoled'autorisations peuvent assumer le rôle créé dansIAM. -
Cette politique
Condition elementde confiance spécifie des exigences supplémentaires pour les mandants qui peuvent assumer le rôle créé dansIAM. Dans cette politique, l'ensemble d'autorisations doté du rôle suivant ARN peut assumer le rôle.arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"Note
L'
Conditionélément inclut l'opérateur deArnLikecondition et utilise un caractère générique à la fin du rôle d'ensemble d'autorisationsARN, plutôt qu'un suffixe unique. Cela signifie que la politique permet à l'ensemble d'autorisations d'assumer le rôle créé IAM même si le rôle ARN de l'ensemble d'autorisations change.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*" } } } ] }L'inclusion d'un rôle que vous créez IAM dans une telle politique vous fournira un accès d'urgence à vos EKS clusters Amazon ou à d'autres AWS ressources si un ensemble d'autorisations ou toutes les affectations à l'ensemble d'autorisations sont accidentellement supprimés et recréés. AWS KMS keys
