Pemberian Izin pods akses ke AWS sumber daya berdasarkan tag - Amazon EKS
Daftar tag sesi yang ditambahkan oleh EKS Pod IdentityTag lintas-akunTag kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemberian Izin pods akses ke AWS sumber daya berdasarkan tag

EKSPod Identity melampirkan tag ke kredensial sementara untuk setiap pod dengan atribut seperti nama cluster, namespace, nama akun layanan. Tag sesi peran ini memungkinkan administrator untuk membuat peran tunggal yang dapat bekerja di seluruh akun layanan dengan mengizinkan akses ke AWS sumber daya berdasarkan tag yang cocok. Dengan menambahkan dukungan untuk tag sesi peran, pelanggan dapat menegakkan batasan keamanan yang lebih ketat antara cluster, dan beban kerja dalam cluster, sambil menggunakan kembali peran dan kebijakan yang sama. IAM IAM

Misalnya, kebijakan berikut memungkinkan s3:GetObject tindakan jika objek ditandai dengan nama EKS cluster.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectTagging"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/eks-cluster-name": "${aws:PrincipalTag/eks-cluster-name}"
                }
            }
        }
    ]
}

Daftar tag sesi yang ditambahkan oleh EKS Pod Identity

Daftar berikut berisi semua kunci untuk tag yang ditambahkan ke AssumeRole permintaan yang dibuat oleh AmazonEKS. Untuk menggunakan tag ini dalam kebijakan, gunakan ${aws:PrincipalTag/ diikuti oleh kunci, misalnya${aws:PrincipalTag/kubernetes-namespace}.

  • eks-cluster-arn

  • eks-cluster-name

  • kubernetes-namespace

  • kubernetes-service-account

  • kubernetes-pod-name

  • kubernetes-pod-uid

Tag lintas-akun

Semua tag sesi yang ditambahkan oleh EKS Pod Identity bersifat transitif; kunci dan nilai tag diteruskan ke AssumeRole tindakan apa pun yang digunakan beban kerja Anda untuk beralih peran ke akun lain. Anda dapat menggunakan tag ini dalam kebijakan di akun lain untuk membatasi akses dalam skenario lintas akun. Untuk informasi selengkapnya, lihat Merantai peran dengan tag sesi di Panduan Pengguna. IAM

Tag kustom

EKSPod Identity tidak dapat menambahkan tag kustom tambahan ke AssumeRole tindakan yang dilakukannya. Namun, tag yang Anda terapkan pada IAM peran selalu tersedia meskipun format yang sama: ${aws:PrincipalTag/ diikuti oleh kunci, misalnya${aws:PrincipalTag/MyCustomTag}.

catatan

Tag yang ditambahkan ke sesi melalui sts:AssumeRole permintaan diutamakan dalam kasus konflik. Misalnya, katakan bahwa:

  • Amazon EKS menambahkan kunci eks-cluster-name dan nilai my-cluster ke sesi ketika EKS mengasumsikan peran pelanggan dan

  • Anda menambahkan eks-cluster-name tag ke IAM peran dengan nilaimy-own-cluster.

Dalam hal ini, yang pertama diutamakan dan nilai untuk eks-cluster-name tag akan menjadi. my-cluster