Grant pods accesso alle AWS risorse in base ai tag - Amazon EKS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Grant pods accesso alle AWS risorse in base ai tag

EKSPod Identity allega tag alle credenziali temporanee di ogni pod con attributi come nome del cluster, namespace, nome dell'account di servizio. Questi tag di sessione di ruolo consentono agli amministratori di creare un singolo ruolo che può funzionare su più account di servizio, consentendo l'accesso alle AWS risorse in base ai tag corrispondenti. Aggiungendo il supporto per i tag di sessione dei ruoli, i clienti possono imporre limiti di sicurezza più rigorosi tra i cluster e i carichi di lavoro all'interno dei cluster, riutilizzando al contempo gli stessi ruoli e le stesse politiche. IAM IAM

Ad esempio, la seguente politica consente l's3:GetObjectazione se l'oggetto è etichettato con il nome del cluster. EKS

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectTagging" ], "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/eks-cluster-name": "${aws:PrincipalTag/eks-cluster-name}" } } } ] }

Elenco dei tag di sessione aggiunti da EKS Pod Identity

L'elenco seguente contiene tutte le chiavi per i tag che vengono aggiunte alla AssumeRole richiesta effettuata da AmazonEKS. Per utilizzare questi tag nelle policy, usa ${aws:PrincipalTag/ seguito dalla chiave, ad esempio ${aws:PrincipalTag/kubernetes-namespace}.

  • eks-cluster-arn

  • eks-cluster-name

  • kubernetes-namespace

  • kubernetes-service-account

  • kubernetes-pod-name

  • kubernetes-pod-uid

Tag tra account

Tutti i tag di sessione aggiunti da EKS Pod Identity sono transitivi; le chiavi e i valori dei tag vengono passati a tutte AssumeRole le azioni utilizzate dai carichi di lavoro per cambiare ruolo in un altro account. È possibile utilizzare questi tag nelle policy di altri account per limitare l'accesso in scenari tra account. Per ulteriori informazioni, consulta Concatenamento dei ruoli con i tag di sessione nella Guida per l'utente. IAM

Tag personalizzati

EKSPod Identity non può aggiungere tag personalizzati aggiuntivi all'AssumeRoleazione che esegue. Tuttavia, i tag che applichi al IAM ruolo sono sempre disponibili nello stesso formato: ${aws:PrincipalTag/ seguiti dalla chiave, ad esempio${aws:PrincipalTag/MyCustomTag}.

Nota

I tag aggiunti alla sessione tramite la richiesta sts:AssumeRole hanno la precedenza in caso di conflitto. Ad esempio, supponiamo che:

  • Amazon EKS aggiunge una chiave eks-cluster-name e un valore my-cluster alla sessione quando EKS assume il ruolo di cliente e

  • Aggiungi un eks-cluster-name tag al IAM ruolo con il valoremy-own-cluster.

In questo caso, il primo ha la precedenza e il valore del eks-cluster-name tag saràmy-cluster.