Bagaimana cara Amazon EKS bekerja sama dengan IAM - Amazon EKS
Kebijakan berbasis identitas Amazon EKSkebijakan berbasis sumber daya Amazon EKSOtorisasi berdasarkan tanda Amazon EKSIAM role Amazon EKS

Bantu tingkatkan halaman ini

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagaimana cara Amazon EKS bekerja sama dengan IAM

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon EKS, Anda harus memahami fitur-fitur IAM apa yang tersedia untuk digunakan dengan Amazon EKS. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon EKS dan AWS layanan lainnya bekerja dengan IAM, lihat AWS layanan yang bekerja dengan IAM di Panduan Pengguna IAM.

Kebijakan berbasis identitas Amazon EKS

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan apakah tindakan dan sumber daya diizinkan atau ditolak, serta persyaratan terkait diizinkan atau ditolak-nya tindakan tersebut. Amazon EKS mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.

Tindakan

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.

Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, misalnya tindakan hanya izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Sertakan tindakan dalam kebijakan untuk memberikan izin pelaksanaan operasi yang terkait.

Tindakan kebijakan di Amazon EKS menggunakan prefiks berikut sebelum tindakan: eks:. Misalnya, untuk memberikan izin kepada seseorang agar mendapatkan informasi deskriptif tentang klaster Amazon EKS, Anda menyertakan tindakan DescribeCluster dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction.

Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:

"Action": ["eks:action1", "eks:action2"]

Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:

"Action": "eks:Describe*"

Untuk melihat daftar tindakan Amazon EKS, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.

Sumber daya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, pengguna utama mana yang dapat melakukan tindakan pada sumber daya apa, dan dalam kondisi apa.

Elemen kebijakan JSON Resource menentukan objek atau beberapa objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk mengindikasikan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

"Resource": "*"

Sumber daya cluster Amazon EKS memiliki ARN berikut.

arn:aws:eks:region-code:account-id:cluster/cluster-name

Untuk informasi selengkapnya tentang format ARN, lihat nama sumber daya Amazon (ARN) dan ruang nama AWS layanan.

Misalnya, untuk menentukan cluster dengan nama my-cluster dalam pernyataan Anda, gunakan ARN berikut:

"Resource": "arn:aws:eks:region-code:111122223333:cluster/my-cluster"

Untuk menentukan semua cluster milik akun tertentu dan Wilayah AWS, gunakan wildcard (*):

"Resource": "arn:aws:eks:region-code:111122223333:cluster/*"

Beberapa tindakan Amazon EKS, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).

"Resource": "*"

Untuk melihat daftar jenis resource Amazon EKS dan ARNnya, lihat Sumber daya yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap resource, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service.

Kunci syarat

Amazon EKS menentukan set kunci syaratnya sendiri dan juga mendukung penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan Pengguna IAM.

Anda dapat menyetel kunci kondisi saat mengaitkan OpenID Connect penyedia ke klaster Anda. Untuk informasi selengkapnya, lihat Contoh kebijakan IAM.

Semua tindakan Amazon EC2 mendukung kunci syarat aws:RequestedRegion dan ec2:Region. Untuk informasi selengkapnya, lihat Contoh: Membatasi Akses ke Spesifik Wilayah AWS.

Untuk daftar kunci kondisi Amazon EKS, lihat Ketentuan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service.

Contoh-contoh

Untuk melihat contoh kebijakan berbasis identitas Amazon EKS, lihat Contoh kebijakan berbasis identitas Amazon EKS.

Saat Anda membuat klaster Amazon EKS, prinsipal IAM yang membuat klaster secara otomatis diberikan system:masters izin dalam konfigurasi kontrol akses berbasis peran (RBAC) klaster di bidang kontrol Amazon EKS. Prinsipal ini tidak muncul dalam konfigurasi yang terlihat, jadi pastikan untuk melacak prinsipal mana yang awalnya membuat cluster. Untuk memberikan kepala sekolah IAM tambahan kemampuan untuk berinteraksi dengan cluster Anda, edit bagian aws-auth ConfigMap dalam Kubernetes dan buat Kubernetes rolebinding atau clusterrolebinding dengan nama group yang Anda tentukan di. aws-auth ConfigMap

Untuk informasi lebih lanjut tentang bekerja dengan ConfigMap, lihatBerikan akses ke Kubernetes API .

kebijakan berbasis sumber daya Amazon EKS

Amazon EKS tidak mendukung kebijakan berbasis sumber daya.

Otorisasi berdasarkan tanda Amazon EKS

Anda dapat melampirkan tanda ke sumber daya Amazon EKS atau meneruskan tanda dalam sebuah permintaan ke Amazon EKS. Untuk mengendalikan akses berdasarkan tanda, Anda dapat memberikan informasi tentang tanda di elemen syarat kebijakan menggunakan kunci kondisi aws:ResourceTag/key-name, aws:RequestTag/key-name, atau aws:TagKeys. Untuk informasi selengkapnya tentang penandaan sumber daya Amazon EKS, lihat Menandai sumber daya Amazon EKS Anda. Untuk informasi selengkapnya tentang tindakan yang dapat Anda gunakan dengan tag dalam kunci kondisi, lihat Tindakan yang ditentukan oleh Amazon EKS di Referensi Otorisasi Layanan.

IAM role Amazon EKS

Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.

Menggunakan kredensial sementara dengan Amazon EKS

Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken

Amazon EKS mendukung penggunaan kredensial sementara.

Peran terkait layanan

Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran tertaut layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.

Amazon EKS mendukung peran tertaut-layanan. Untuk informasi selengkapnya tentang cara membuat atau mengelola peran tertaut layanan Amazon EKS, lihat Menggunakan peran tertaut layanan untuk Amazon EKS.

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, hal itu dapat merusak fungsionalitas layanan.

Amazon EKS mendukung peran layanan. Untuk informasi lebih lanjut, lihat IAM role klaster Amazon EKS dan IAM role simpul Amazon EKS.

Memilih IAM role di Amazon EKS

Saat Anda membuat sumber daya kluster di Amazon EKS, Anda harus memilih peran untuk memungkinkan Amazon EKS mengakses beberapa AWS sumber daya lain atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan, maka Amazon EKS akan memberi Anda daftar peran untuk dipilih. Penting untuk memilih peran yang memiliki kebijakan yang dikelola oleh Amazon EKS. Lihat informasi yang lebih lengkap di Periksa apakah peran klaster sudah ada dan Periksa apakah peran simpul sudah ada.