Riferimento ai set di autorizzazioni nelle politiche delle risorse, nelle mappe di configurazione di Amazon EKS Cluster e AWS KMS nelle politiche chiave - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Riferimento ai set di autorizzazioni nelle politiche delle risorse, nelle mappe di configurazione di Amazon EKS Cluster e AWS KMS nelle politiche chiave

Quando si assegna un set di autorizzazioni a un AWS account, IAM Identity Center crea un ruolo con un nome che inizia con. AWSReservedSSO_

Il nome completo e Amazon Resource Name (ARN) per il ruolo utilizzano il seguente formato:

Nome ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO_permission-set-name_unique-suffix

Se la tua fonte di IAM identità in Identity Center è ospitata in us-east-1, non è aws-region presente in. ARN Il nome completo e ARN il ruolo utilizzano il seguente formato:

Nome ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_permission-set-name_unique-suffix

Ad esempio, se si crea un set di autorizzazioni che concede l'accesso tramite AWS account agli amministratori del database, viene creato un ruolo corrispondente con il seguente nome e: ARN

Nome ARN
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef

Se si eliminano tutte le assegnazioni a questo set di autorizzazioni nell' AWS account, viene eliminato anche il ruolo corrispondente creato da IAM Identity Center. Se si effettua una nuova assegnazione allo stesso set di autorizzazioni in un secondo momento, IAM Identity Center crea un nuovo ruolo per il set di autorizzazioni. Il nome e ARN il nuovo ruolo includono un suffisso diverso e univoco. In questo esempio, il suffisso univoco è abcdef0123456789.

Nome ARN
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789

La modifica del suffisso nel nuovo nome e nel ruolo causerà l'interruzione dell'accesso ARN per gli utenti che utilizzano il set di autorizzazioni corrispondente a qualsiasi criterio che faccia riferimento ARN al nome originale e ad essere out-of-date. Ad esempio, una modifica del ARN ruolo interromperà l'accesso degli utenti del set di autorizzazioni se ARN si fa riferimento all'originale nelle seguenti configurazioni:

  • Nel aws-auth ConfigMap file per i cluster Amazon Elastic Kubernetes Service (EKSAmazon) quando utilizzi per l'accesso al cluster. aws-auth ConfigMap

  • In una politica basata sulle risorse per una chiave (). AWS Key Management Service AWS KMS Questa politica viene anche definita politica chiave.

Nota

Ti consigliamo di utilizzare le voci di EKS accesso Amazon per gestire l'accesso ai tuoi EKS cluster Amazon. Ciò consente di utilizzare IAM le autorizzazioni per gestire i principali che hanno accesso a un cluster AmazonEKS. Utilizzando le voci di EKS accesso Amazon, puoi utilizzare un IAM principale con EKS autorizzazioni Amazon per riottenere l'accesso a un cluster senza contattare. AWS Support

Sebbene sia possibile aggiornare le politiche basate sulle risorse per la maggior parte dei AWS servizi ARN per fare riferimento a un nuovo ruolo corrispondente a un set di autorizzazioni, è necessario disporre di un ruolo di backup da creare per IAM Amazon EKS e in AWS KMS caso di modifiche. ARN Per AmazonEKS, il IAM ruolo di backup deve esistere inaws-auth ConfigMap. Perché AWS KMS deve esistere nelle tue politiche chiave. Se non disponi di un IAM ruolo di backup con le autorizzazioni per aggiornare la politica aws-auth ConfigMap o la politica AWS KMS chiave, contatta AWS Support per riottenere l'accesso a tali risorse.

Consigli per evitare interruzioni dell'accesso

Per evitare interruzioni dell'accesso dovute a modifiche apportate a un ruolo corrispondente a un set di autorizzazioni, si consiglia di effettuare le seguenti operazioni. ARN

  • Mantieni almeno l'assegnazione di un set di autorizzazioni.

    Gestisci questa assegnazione negli AWS account che contengono i ruoli a cui fai riferimento aws-auth ConfigMap per AmazonEKS, le politiche chiave o le politiche basate sulle risorse per altri. AWS KMS Servizi AWS

    Ad esempio, se crei un set di EKSAccess autorizzazioni e fai riferimento al ruolo corrispondente ARN dall' AWS account111122223333, assegna in modo permanente un gruppo amministrativo al set di autorizzazioni in quell'account. Poiché l'assegnazione è permanente, IAM Identity Center non eliminerà il ruolo corrispondente, il che elimina il rischio di ridenominazione. Il gruppo amministrativo avrà sempre accesso senza il rischio di un aumento dei privilegi.

  • Per EKS i cluster Amazon che utilizzano aws-auth ConfigMap e AWS KMS: includono un ruolo creato inIAM.

    Se fai riferimento al ruolo ARNs per i set di autorizzazioni in un EKS cluster aws-auth ConfigMap per Amazon o nelle politiche chiave per le AWS KMS chiavi, ti consigliamo di includere anche almeno un ruolo in cui creiIAM. Il ruolo deve consentirti di accedere al EKS cluster Amazon o gestire la policy AWS KMS chiave. Il set di autorizzazioni deve essere in grado di assumere questo ruolo. In questo modo, se il ruolo ARN di un set di autorizzazioni cambia, è possibile aggiornare il riferimento alla politica ARN in the aws-auth ConfigMap o AWS KMS key. La sezione successiva fornisce un esempio di come è possibile creare una politica di fiducia per un ruolo creato inIAM. Il ruolo può essere assunto solo da un set di AdministratorAccess autorizzazioni.

Esempio di politica di fiducia personalizzata

Di seguito è riportato un esempio di politica di fiducia personalizzata che fornisce un set di AdministratorAccess autorizzazioni con accesso a un ruolo creato inIAM. Gli elementi chiave di questa politica includono:

  • L'elemento principale di questa politica di fiducia specifica l'intestatario AWS del conto. In questa politica, i responsabili dell' AWS account 111122223333 con sts:AssumeRole autorizzazioni possono assumere il ruolo in cui è stato creato. IAM

  • La base Condition element di questa politica di fiducia specifica requisiti aggiuntivi per i responsabili che possono assumere il ruolo creato in. IAM In questa politica, il ruolo ARN può essere assunto dal set di autorizzazioni impostato con il seguente ruolo.

    arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
    Nota

    L'Conditionelemento include l'operatore ArnLike condition e utilizza un carattere jolly alla fine del ruolo del set di autorizzazioniARN, anziché un suffisso univoco. Ciò significa che la policy consente al set di autorizzazioni di assumere il ruolo creato in IAM anche se il ruolo del set ARN di autorizzazioni cambia.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*" } } } ] }

    L'inclusione di un ruolo creato IAM in tale politica ti fornirà l'accesso di emergenza ai tuoi EKS cluster Amazon o ad altre AWS risorse se un set di autorizzazioni o tutte le assegnazioni al set di autorizzazioni vengono eliminati e ricreati accidentalmente. AWS KMS keys