Come EKS funziona Amazon con IAM - Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come EKS funziona Amazon con IAM

Prima di utilizzare IAM per gestire l'accesso ad AmazonEKS, è necessario comprendere quali IAM funzionalità sono disponibili per l'uso con AmazonEKS. Per avere una panoramica generale del funzionamento di Amazon EKS e di altri AWS serviziIAM, consulta AWS i servizi con cui funzionano IAM nella Guida per l'IAMutente.

EKSPolitiche basate sull'identità di Amazon

Con le politiche IAM basate sull'identità, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. Amazon EKS supporta azioni, risorse e chiavi di condizione specifiche. Per conoscere tutti gli elementi utilizzati in una JSON policy, consulta il riferimento agli elementi IAM JSON della policy nella Guida per l'IAMutente.

Azioni

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.

Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.

Le azioni politiche in Amazon EKS utilizzano il seguente prefisso prima dell'azione:eks:. Ad esempio, per concedere a qualcuno il permesso di ottenere informazioni descrittive su un EKS cluster Amazon, includi l'DescribeClusterazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction.

Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:

"Action": ["eks:action1", "eks:action2"]

È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:

"Action": "eks:Describe*"

Per visualizzare un elenco di EKS azioni Amazon, consulta Actions defined by Amazon Elastic Kubernetes Service nel Service Authorization Reference.

Risorse

Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.

L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.

Per le azioni che non supportano le autorizzazioni a livello di risorsa, come le operazioni di quotazione, usa un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.

"Resource": "*"

La risorsa del EKS cluster Amazon ha quanto segueARN.

arn:aws: eks:region-code:account-id:cluster/cluster-name

Per ulteriori informazioni sul formato diARNs, consulta Amazon resource names (ARNs) e AWS service namespaces.

Ad esempio, per specificare il cluster con il nome my-cluster nella tua dichiarazione, usa quanto segueARN:

"Resource": "arn:aws: eks:region-code:111122223333:cluster/my-cluster"

Per specificare tutti i cluster che appartengono a un account e a una AWS regione specifici, usa il carattere jolly (*):

"Resource": "arn:aws: eks:region-code:111122223333:cluster/*"

Alcune EKS azioni di Amazon, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).

"Resource": "*"

Per visualizzare un elenco dei tipi di EKS risorse Amazon e relativiARNs, consulta Resources defined by Amazon Elastic Kubernetes Service nel Service Authorization Reference. Per sapere con quali azioni puoi specificare il tipo ARN di ciascuna risorsa, consulta Azioni definite da Amazon Elastic Kubernetes Service.

Chiavi di condizione

Amazon EKS definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida IAM per l'utente.

È possibile impostare le chiavi di condizione quando si associa un OpenID Connect fornitore del tuo cluster. Per ulteriori informazioni, consulta Policy IAM di esempio.

Tutte le EC2 azioni di Amazon supportano le chiavi aws:RequestedRegion e ec2:Region condition. Per ulteriori informazioni, consulta Esempio: limitazione dell'accesso a una AWS regione specifica.

Per un elenco delle chiavi di EKS condizione di Amazon, consulta Conditions defined by Amazon Elastic Kubernetes Service nel Service Authorization Reference. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consultare Operazioni definite da Amazon Elastic Kubernetes Service.

Esempi

Per visualizzare esempi di politiche EKS basate sull'identità di Amazon, consulta. Esempi di policy EKS basate sull'identità di Amazon

Quando crei un EKS cluster Amazon, al IAMprincipale che crea il cluster vengono automaticamente concesse system:masters le autorizzazioni nella configurazione di controllo degli accessi (RBAC) basata sui ruoli del cluster nel piano di controllo AmazonEKS. Questo principio non appare in nessuna configurazione visibile, quindi assicurati di tenere traccia di quale principale ha originariamente creato il cluster. Per concedere ad altri IAM principali la possibilità di interagire con il tuo cluster, modifica l'interno aws-auth ConfigMap Kubernetes e crea un Kubernetes rolebindingo clusterrolebinding con il nome group di a specificato inaws-auth ConfigMap.

Per ulteriori informazioni sull'utilizzo di ConfigMap, vedereConcedi a IAM utenti e ruoli l'accesso a Kubernetes APIs.

Politiche basate EKS sulle risorse di Amazon

Amazon EKS non supporta politiche basate sulle risorse.

Autorizzazione basata sui EKS tag Amazon

Puoi allegare tag alle EKS risorse Amazon o passare i tag in una richiesta ad AmazonEKS. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/key-name , aws:RequestTag/key-name o aws:TagKeys. Per ulteriori informazioni sull'etichettatura EKS delle risorse Amazon, consultaOrganizza EKS le risorse Amazon con i tag. Per ulteriori informazioni sulle azioni con cui puoi utilizzare i tag nelle chiavi di condizione, consulta Azioni definite da Amazon EKS nel Service Authorization Reference.

EKSIAMRuoli Amazon

Un IAMruolo è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee con Amazon EKS

Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS API operazioni come o. AssumeRoleGetFederationToken

Amazon EKS supporta l'utilizzo di credenziali temporanee.

Ruoli collegati ai servizi

link:IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role[Service-linked roles,type="documentation"] allow {aws} services to access resources in other services to complete an action on your behalf. Service-linked roles appear in your IAM account and are owned by the service. An administrator can view but can't edit the permissions for service-linked roles.

Amazon EKS supporta ruoli collegati ai servizi. Per dettagli sulla creazione o la gestione di ruoli EKS collegati ad Amazon Service, consulta. Utilizzo di ruoli collegati ai servizi per Amazon EKS

Ruoli dei servizi

Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nel tuo IAM account e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

Amazon EKS supporta i ruoli di servizio. Per ulteriori informazioni, consulta EKSIAMRuolo del cluster Amazon e IAMRuolo EKS del nodo Amazon.

Scegliere un IAM ruolo in Amazon EKS

Quando crei una risorsa cluster in AmazonEKS, devi scegliere un ruolo per consentire ad Amazon di accedere EKS a diverse altre AWS risorse per tuo conto. Se in precedenza hai creato un ruolo di servizio, Amazon ti EKS fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo a cui siano associate le policy EKS gestite da Amazon. Per ulteriori informazioni, consulta Verifica della presenza di un ruolo del cluster esistente e Verifica della presenza di un ruolo di nodo esistente.