Mereferensikan set izin dalam kebijakan sumber daya, peta konfigurasi Amazon EKS Cluster, dan AWS KMS kebijakan utama - AWS IAM Identity Center
Rekomendasi untuk menghindari gangguan aksesContoh kebijakan kepercayaan khusus

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mereferensikan set izin dalam kebijakan sumber daya, peta konfigurasi Amazon EKS Cluster, dan AWS KMS kebijakan utama

Saat Anda menetapkan izin yang disetel ke AWS akun, Pusat Identitas IAM akan membuat peran dengan nama yang dimulai dengan. AWSReservedSSO_

Nama lengkap dan Nama Sumber Daya Amazon (ARN) untuk peran menggunakan format berikut:

Nama ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO_permission-set-name_unique-suffix

Jika sumber identitas Anda di IAM Identity Center di-host di us-east-1, tidak ada di ARN. aws-region Nama lengkap dan ARN untuk peran menggunakan format berikut:

Nama ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_permission-set-name_unique-suffix

Misalnya, jika Anda membuat kumpulan izin yang memberikan akses AWS akun ke administrator database, peran yang sesuai akan dibuat dengan nama dan ARN berikut:

Nama ARN
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef

Jika Anda menghapus semua penetapan untuk izin ini yang ditetapkan dalam AWS akun, peran terkait yang dibuat Pusat Identitas IAM juga akan dihapus. Jika Anda membuat penugasan baru ke set izin yang sama nanti, Pusat Identitas IAM akan membuat peran baru untuk set izin. Nama dan ARN dari peran baru termasuk akhiran unik yang berbeda. Dalam contoh ini, akhiran unik adalah abcdef0123456789.

Nama ARN
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789

Perubahan akhiran pada nama baru dan ARN untuk peran tersebut akan menyebabkan kebijakan apa pun yang mereferensikan nama asli dan ARN, yang mengganggu akses bagi individu yang menggunakan set izin yang sesuai. out-of-date Misalnya, perubahan ARN untuk peran akan mengganggu akses bagi pengguna dari set izin jika ARN asli direferensikan dalam konfigurasi berikut:

  • Dalam aws-auth ConfigMap file untuk Amazon Elastic Kubernetes Service (Amazon EKS) cluster saat Anda menggunakan for akses cluster. aws-auth ConfigMap

  • Dalam kebijakan berbasis sumber daya untuk kunci (). AWS Key Management Service AWS KMS Kebijakan ini juga disebut sebagai kebijakan utama.

catatan

Kami menyarankan Anda menggunakan entri akses Amazon EKS untuk mengelola akses ke kluster Amazon EKS Anda. Ini memungkinkan Anda menggunakan izin IAM untuk mengelola prinsipal yang memiliki akses ke kluster Amazon EKS. Dengan menggunakan entri akses Amazon EKS, Anda dapat menggunakan prinsipal IAM dengan izin Amazon EKS untuk mendapatkan kembali akses ke klaster tanpa menghubungi. Dukungan

Meskipun Anda dapat memperbarui kebijakan berbasis sumber daya untuk sebagian besar AWS layanan untuk mereferensikan ARN baru untuk peran yang sesuai dengan kumpulan izin, Anda harus memiliki peran cadangan yang Anda buat di IAM untuk Amazon EKS dan jika ARN berubah. AWS KMS Untuk Amazon EKS, peran IAM cadangan harus ada di. aws-auth ConfigMap Karena AWS KMS, itu harus ada dalam kebijakan utama Anda. Jika Anda tidak memiliki peran IAM cadangan dengan izin untuk memperbarui aws-auth ConfigMap atau kebijakan AWS KMS kunci, hubungi Dukungan untuk mendapatkan kembali akses ke sumber daya tersebut.

Rekomendasi untuk menghindari gangguan akses

Untuk menghindari gangguan akses karena perubahan ARN untuk peran yang sesuai dengan set izin, kami sarankan Anda melakukan hal berikut.

  • Pertahankan setidaknya satu penetapan set izin.

    Pertahankan penetapan ini di AWS akun yang berisi peran yang Anda referensikan di Amazon EKS, kebijakan utama AWS KMS, atau kebijakan berbasis sumber daya aws-auth ConfigMap untuk lainnya. Layanan AWS

    Misalnya, jika Anda membuat set EKSAccess izin dan mereferensikan peran terkait ARN dari AWS akun111122223333, maka tetapkan grup administratif secara permanen ke izin yang ditetapkan di akun tersebut. Karena penugasan bersifat permanen, IAM Identity Center tidak akan menghapus peran yang sesuai, yang menghilangkan risiko penggantian nama. Kelompok administratif akan selalu memiliki akses tanpa risiko eskalasi hak istimewa.

  • Untuk klaster Amazon EKS yang menggunakan aws-auth ConfigMap dan AWS KMS: Sertakan peran yang dibuat di IAM.

    Jika Anda mereferensikan peran ARNs aws-auth ConfigMap untuk set izin di klaster Amazon EKS atau dalam kebijakan AWS KMS kunci untuk kunci, sebaiknya Anda juga menyertakan setidaknya satu peran yang Anda buat di IAM. Peran tersebut harus memungkinkan Anda mengakses kluster Amazon EKS atau mengelola kebijakan AWS KMS utama. Set izin harus dapat mengambil peran ini. Dengan begitu, jika peran ARN untuk set izin berubah, Anda dapat memperbarui referensi ke ARN dalam kebijakan atau kunci. aws-auth ConfigMap AWS KMS Bagian selanjutnya memberikan contoh bagaimana Anda dapat membuat kebijakan kepercayaan untuk peran yang dibuat di IAM. Peran hanya dapat diasumsikan dengan set AdministratorAccess izin.

Contoh kebijakan kepercayaan khusus

Berikut ini adalah contoh kebijakan kepercayaan khusus yang menyediakan set AdministratorAccess izin dengan akses ke peran yang dibuat di IAM. Elemen kunci dari kebijakan ini meliputi:

  • Elemen utama dari kebijakan kepercayaan ini menentukan pokok AWS akun. Dalam kebijakan ini, prinsipal di AWS akun 111122223333 dengan sts:AssumeRole izin dapat mengambil peran yang dibuat di IAM.

  • Kebijakan kepercayaan ini menetapkan persyaratan tambahan untuk prinsipal yang dapat mengambil peran yang dibuat dalam IAM. Condition element Dalam kebijakan ini, izin yang ditetapkan dengan peran berikut ARN dapat mengambil peran tersebut.

    arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
    catatan

    ConditionElemen termasuk operator ArnLike kondisi dan menggunakan wildcard di akhir peran set izin ARN, bukan akhiran unik. Ini berarti bahwa kebijakan mengizinkan set izin untuk mengambil peran yang dibuat di IAM meskipun ARN peran untuk set izin berubah. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
        }
      }
    }
  ]
}

    Menyertakan peran yang Anda buat di IAM dalam kebijakan semacam itu akan memberi Anda akses darurat ke kluster Amazon EKS AWS KMS keys, atau AWS sumber daya lainnya jika set izin atau semua penetapan ke kumpulan izin dihapus dan dibuat ulang secara tidak sengaja.