Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento ai set di autorizzazioni nelle politiche delle risorse, nelle mappe di configurazione di Amazon EKS Cluster e AWS KMS nelle politiche chiave
Quando si assegna un set di autorizzazioni a un AWS account, IAM Identity Center crea un ruolo con un nome che inizia con. AWSReservedSSO_
Il nome completo e Amazon Resource Name (ARN) per il ruolo utilizzano il seguente formato:
Nome | ARN |
---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Se la tua fonte di IAM identità in Identity Center è ospitata in us-east-1, non è aws-region
presente in. ARN Il nome completo e ARN il ruolo utilizzano il seguente formato:
Nome | ARN |
---|---|
AWSReservedSSO_ |
arn:aws:iam:: |
Ad esempio, se si crea un set di autorizzazioni che concede l'accesso tramite AWS account agli amministratori del database, viene creato un ruolo corrispondente con il seguente nome e: ARN
Nome | ARN |
---|---|
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef
|
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef |
Se si eliminano tutte le assegnazioni a questo set di autorizzazioni nell' AWS account, viene eliminato anche il ruolo corrispondente creato da IAM Identity Center. Se si effettua una nuova assegnazione allo stesso set di autorizzazioni in un secondo momento, IAM Identity Center crea un nuovo ruolo per il set di autorizzazioni. Il nome e ARN il nuovo ruolo includono un suffisso diverso e univoco. In questo esempio, il suffisso univoco è abcdef0123456789.
Nome | ARN |
---|---|
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 |
La modifica del suffisso nel nuovo nome e nel ruolo causerà l'interruzione dell'accesso ARN per gli utenti che utilizzano il set di autorizzazioni corrispondente a qualsiasi criterio che faccia riferimento ARN al nome originale e ad essere out-of-date. Ad esempio, una modifica del ARN ruolo interromperà l'accesso degli utenti del set di autorizzazioni se ARN si fa riferimento all'originale nelle seguenti configurazioni:
-
Nel
aws-auth ConfigMap
file per i cluster Amazon Elastic Kubernetes Service (EKSAmazon) quando utilizzi per l'accesso al cluster.aws-auth ConfigMap
-
In una politica basata sulle risorse per una chiave (). AWS Key Management Service AWS KMS Questa politica viene anche definita politica chiave.
Nota
Ti consigliamo di utilizzare le voci di EKS accesso Amazon per gestire l'accesso ai tuoi EKS cluster Amazon. Ciò consente di utilizzare IAM le autorizzazioni per gestire i principali che hanno accesso a un cluster AmazonEKS. Utilizzando le voci di EKS accesso Amazon, puoi utilizzare un IAM principale con EKS autorizzazioni Amazon per riottenere l'accesso a un cluster senza contattare. AWS Support
Sebbene sia possibile aggiornare le politiche basate sulle risorse per la maggior parte dei AWS servizi ARN per fare riferimento a un nuovo ruolo corrispondente a un set di autorizzazioni, è necessario disporre di un ruolo di backup da creare per IAM Amazon EKS e in AWS KMS caso di modifiche. ARN Per AmazonEKS, il IAM ruolo di backup deve esistere inaws-auth ConfigMap
. Perché AWS KMS deve esistere nelle tue politiche chiave. Se non disponi di un IAM ruolo di backup con le autorizzazioni per aggiornare la politica aws-auth ConfigMap
o la politica AWS KMS chiave, contatta AWS Support per riottenere l'accesso a tali risorse.
Consigli per evitare interruzioni dell'accesso
Per evitare interruzioni dell'accesso dovute a modifiche apportate a un ruolo corrispondente a un set di autorizzazioni, si consiglia di effettuare le seguenti operazioni. ARN
-
Mantieni almeno l'assegnazione di un set di autorizzazioni.
Gestisci questa assegnazione negli AWS account che contengono i ruoli a cui fai riferimento
aws-auth ConfigMap
per AmazonEKS, le politiche chiave o le politiche basate sulle risorse per altri. AWS KMS Servizi AWSAd esempio, se crei un set di
EKSAccess
autorizzazioni e fai riferimento al ruolo corrispondente ARN dall' AWS account111122223333
, assegna in modo permanente un gruppo amministrativo al set di autorizzazioni in quell'account. Poiché l'assegnazione è permanente, IAM Identity Center non eliminerà il ruolo corrispondente, il che elimina il rischio di ridenominazione. Il gruppo amministrativo avrà sempre accesso senza il rischio di un aumento dei privilegi. -
Per EKS i cluster Amazon che utilizzano
aws-auth ConfigMap
e AWS KMS: includono un ruolo creato inIAM.Se fai riferimento al ruolo ARNs per i set di autorizzazioni in un EKS cluster
aws-auth ConfigMap
per Amazon o nelle politiche chiave per le AWS KMS chiavi, ti consigliamo di includere anche almeno un ruolo in cui creiIAM. Il ruolo deve consentirti di accedere al EKS cluster Amazon o gestire la policy AWS KMS chiave. Il set di autorizzazioni deve essere in grado di assumere questo ruolo. In questo modo, se il ruolo ARN di un set di autorizzazioni cambia, è possibile aggiornare il riferimento alla politica ARN in theaws-auth ConfigMap
o AWS KMS key. La sezione successiva fornisce un esempio di come è possibile creare una politica di fiducia per un ruolo creato inIAM. Il ruolo può essere assunto solo da un set diAdministratorAccess
autorizzazioni.
Esempio di politica di fiducia personalizzata
Di seguito è riportato un esempio di politica di fiducia personalizzata che fornisce un set di AdministratorAccess
autorizzazioni con accesso a un ruolo creato inIAM. Gli elementi chiave di questa politica includono:
-
L'elemento principale di questa politica di fiducia specifica l'intestatario AWS del conto. In questa politica, i responsabili dell' AWS account
111122223333
consts:AssumeRole
autorizzazioni possono assumere il ruolo in cui è stato creato. IAM -
La base
Condition element
di questa politica di fiducia specifica requisiti aggiuntivi per i responsabili che possono assumere il ruolo creato in. IAM In questa politica, il ruolo ARN può essere assunto dal set di autorizzazioni impostato con il seguente ruolo.arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
Nota
L'
Condition
elemento include l'operatoreArnLike
condition e utilizza un carattere jolly alla fine del ruolo del set di autorizzazioniARN, anziché un suffisso univoco. Ciò significa che la policy consente al set di autorizzazioni di assumere il ruolo creato in IAM anche se il ruolo del set ARN di autorizzazioni cambia.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*" } } } ] }
L'inclusione di un ruolo creato IAM in tale politica ti fornirà l'accesso di emergenza ai tuoi EKS cluster Amazon o ad altre AWS risorse se un set di autorizzazioni o tutte le assegnazioni al set di autorizzazioni vengono eliminati e ricreati accidentalmente. AWS KMS keys