Bagaimana Amazon EKS bekerja dengan IAM - Amazon EKS
Kebijakan EKS berbasis identitas AmazonKebijakan berbasis EKS sumber daya AmazonOtorisasi berdasarkan tag Amazon EKSEKSIAMPeran Amazon

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana Amazon EKS bekerja dengan IAM

Sebelum Anda menggunakan IAM untuk mengelola akses ke AmazonEKS, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan AmazonEKS. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon EKS dan AWS layanan lainnyaIAM, lihat AWS layanan yang berfungsi IAM di Panduan IAM Pengguna.

Kebijakan EKS berbasis identitas Amazon

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak. Amazon EKS mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat referensi elemen IAM JSON kebijakan di Panduan IAM Pengguna.

Tindakan

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di Amazon EKS menggunakan awalan berikut sebelum tindakan:eks:. Misalnya, untuk memberikan izin kepada seseorang untuk mendapatkan informasi deskriptif tentang EKS klaster Amazon, Anda menyertakan DescribeCluster tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:

"Action": ["eks:action1", "eks:action2"]

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:

"Action": "eks:Describe*"

Untuk melihat daftar EKS tindakan Amazon, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.

Sumber daya

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

Elemen Resource JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin tingkat sumber daya, seperti operasi daftar, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Sumber daya EKS cluster Amazon memiliki yang berikut iniARN.

 arn:aws: eks:region-code:account-id:cluster/cluster-name

Untuk informasi selengkapnya tentang formatARNs, lihat Amazon resource names (ARNs) dan ruang nama AWS layanan.

Misalnya, untuk menentukan cluster dengan nama my-cluster dalam pernyataan Anda, gunakan yang berikut iniARN:

"Resource": "arn:aws: eks:region-code:111122223333:cluster/my-cluster"

Untuk menentukan semua cluster milik akun dan AWS Wilayah tertentu, gunakan wildcard (*):

"Resource": "arn:aws: eks:region-code:111122223333:cluster/*"

Beberapa EKS tindakan Amazon, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Untuk melihat daftar jenis EKS sumber daya Amazon dan jenisnyaARNs, lihat Sumber daya yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service.

Kunci syarat

Amazon EKS mendefinisikan kumpulan kunci kondisinya sendiri dan juga mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan IAM Pengguna.

Anda dapat mengatur kunci kondisi saat mengaitkan OpenID Connect penyedia ke cluster Anda. Untuk informasi selengkapnya, lihat Contoh IAM kebijakan.

Semua EC2 tindakan Amazon mendukung kunci aws:RequestedRegion dan ec2:Region kondisi. Untuk informasi selengkapnya, lihat Contoh: Membatasi Akses ke AWS Wilayah Tertentu.

Untuk daftar kunci EKS kondisi Amazon, lihat Ketentuan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service.

Contoh

Untuk melihat contoh kebijakan EKS berbasis identitas Amazon, lihat. Contoh EKS kebijakan berbasis identitas Amazon

Saat Anda membuat EKS klaster Amazon, IAMprinsipal yang membuat klaster secara otomatis diberikan system:masters izin dalam konfigurasi kontrol akses (RBAC) berbasis peran klaster di bidang kontrol AmazonEKS. Prinsipal ini tidak muncul dalam konfigurasi yang terlihat, jadi pastikan untuk melacak prinsipal mana yang awalnya membuat cluster. Untuk memberikan IAM kepala sekolah tambahan kemampuan untuk berinteraksi dengan klaster Anda, edit bagian dalamnya aws-auth ConfigMap Kubernetes dan membuat Kubernetes rolebindingatau clusterrolebinding dengan nama a group yang Anda tentukan diaws-auth ConfigMap.

Untuk informasi lebih lanjut tentang bekerja dengan ConfigMap, lihatBerikan akses IAM kepada pengguna dan peran ke Kubernetes APIs.

Kebijakan berbasis EKS sumber daya Amazon

Amazon EKS tidak mendukung kebijakan berbasis sumber daya.

Otorisasi berdasarkan tag Amazon EKS

Anda dapat melampirkan tag ke EKS sumber daya Amazon atau meneruskan tag dalam permintaan ke AmazonEKS. Untuk mengendalikan akses berdasarkan tag, berikan informasi tentang tag di elemen kondisi dari kebijakan menggunakan kunci kondisi aws:ResourceTag/key-name , aws:RequestTag/key-name , atau aws:TagKeys. Untuk informasi selengkapnya tentang menandai EKS sumber daya Amazon, lihatMengatur EKS sumber daya Amazon dengan tag. Untuk informasi selengkapnya tentang tindakan yang dapat Anda gunakan dengan tag dalam kunci kondisi, lihat Tindakan yang ditentukan oleh Amazon EKS di Referensi Otorisasi Layanan.

EKSIAMPeran Amazon

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Menggunakan kredensi sementara dengan Amazon EKS

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS STS API operasi seperti AssumeRoleatau. GetFederationToken

Amazon EKS mendukung penggunaan kredensi sementara.

Peran terkait layanan

link:IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role[Service-linked roles,type="documentation"] allow {aws} services to access resources in other services to complete an action on your behalf. Service-linked roles appear in your IAM account and are owned by the service. An administrator can view but can't edit the permissions for service-linked roles.

Amazon EKS mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola peran EKS terkait layanan Amazon, lihat. Menggunakan peran terkait layanan untuk Amazon EKS

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di IAM akun Anda dan dimiliki oleh akun. Ini berarti bahwa IAM administrator dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

Amazon EKS mendukung peran layanan. Untuk informasi selengkapnya, silakan lihat IAMPeran EKS cluster Amazon dan IAMPeran EKS simpul Amazon.

Memilih IAM peran di Amazon EKS

Saat membuat sumber daya cluster di AmazonEKS, Anda harus memilih peran untuk memungkinkan Amazon EKS mengakses beberapa AWS sumber daya lain atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan, Amazon EKS memberi Anda daftar peran untuk dipilih. Penting untuk memilih peran yang memiliki kebijakan EKS terkelola Amazon yang melekat padanya. Untuk informasi selengkapnya, silakan lihat Periksa apakah peran klaster sudah ada dan Periksa apakah peran simpul sudah ada.