Referenciando conjuntos de permissões em políticas de recursos, Amazon EKS e AWS KMS - AWS IAM Identity Center
Recomendações para evitar interrupções no acessoExemplos de políticas personalizadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Referenciando conjuntos de permissões em políticas de recursos, Amazon EKS e AWS KMS

Quando você atribui um conjunto de permissões a uma AWS conta, o IAM Identity Center cria uma função com um nome que começa comAWSReservedSSO_.

O nome completo e o Nome de recurso da Amazon (ARN) da função usam o seguinte formato:

Nome ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO_permission-set-name_unique-suffix

Por exemplo, se você criar um conjunto de permissões que conceda acesso à AWS conta aos administradores do banco de dados, uma função correspondente será criada com o seguinte nome e ARN:

Nome ARN
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef

Se você excluir todas as atribuições desse conjunto de permissões na AWS conta, a função correspondente criada pelo IAM Identity Center também será excluída. Se você fizer uma nova atribuição ao mesmo conjunto de permissões posteriormente, o IAM Identity Center criará uma nova função para o conjunto de permissões. O nome e o ARN da nova função incluem um sufixo diferente e exclusivo. Neste exemplo, o sufixo exclusivo é abcdef0123456789.

Nome ARN
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789

A alteração do sufixo no novo nome e no ARN da função fará com que todas as políticas que façam referência ao nome e ao ARN originais out-of-date sejam, o que interrompe o acesso de indivíduos que usam o conjunto de permissões correspondente. Por exemplo, uma alteração no ARN da função interromperá o acesso dos usuários do conjunto de permissões se o ARN original for referenciado nas seguintes configurações:

  • No arquivo do aws-auth ConfigMap para o Amazon Elastic Kubernetes Service (Amazon EKS)

  • Em uma política baseada em recursos para uma chave AWS Key Management Service (AWS KMS). Essa política também é referenciada como política de chave.

Embora você possa atualizar as políticas baseadas em recursos para a maioria dos AWS serviços para fazer referência a um novo ARN para uma função que corresponda a um conjunto de permissões, você deve ter uma função de backup criada no IAM para o Amazon EKS e se AWS KMS o ARN mudar. Para o Amazon EKS, a função de backup do IAM deve existir no aws-auth ConfigMap. No AWS KMS, ele deve existir em suas principais políticas. Se você não tiver uma função do IAM de backup em nenhum dos casos, entre em contato com AWS Support.

Recomendações para evitar interrupções no acesso

Para evitar interrupções no acesso devido a alterações no ARN de uma função que corresponda a um conjunto de permissões, recomendamos que você faça o seguinte.

  • Mantenha pelo menos uma atribuição de conjunto de permissões.

    Mantenha essa atribuição nas AWS contas que contêm as funções às quais você faz referência aws-auth ConfigMap para o Amazon EKS, as principais políticas ou as políticas baseadas em AWS KMS recursos para outras. Serviços da AWS

    Por exemplo, se você criar um conjunto de EKSAccess permissões e referenciar o ARN da função correspondente a partir da AWS conta111122223333, atribua permanentemente um grupo administrativo ao conjunto de permissões dessa conta. Como a atribuição é permanente, o IAM Identity Center não excluirá a função correspondente, o que elimina o risco de renomeação. O grupo administrativo sempre terá acesso sem o risco de escalação de privilégios.

  • Para Amazon EKS e AWS KMS: Inclua uma função criada no IAM.

    Se você fizer referência a ARNs de função para conjuntos de permissões em um aws-auth ConfigMap no cluster do Amazon EKS ou em políticas de chaves para chaves AWS KMS , recomendamos que você também inclua pelo menos uma função criada no IAM. A função deve permitir que você acesse o cluster do Amazon EKS ou gerencie a política de AWS KMS chaves. O conjunto de permissões deve ser capaz de assumir essa função. Dessa forma, se o ARN da função de um conjunto de permissões mudar, você poderá atualizar a referência ao ARN na política de chave ou. aws-auth ConfigMap AWS KMS A próxima seção fornece um exemplo de como você pode criar uma política de confiança para uma função criada no IAM. A função só pode ser assumida por um conjunto de permissões AdministratorAccess.

Exemplos de políticas personalizadas

Veja a seguir um exemplo de uma política de confiança personalizada que fornece um conjunto de AdministratorAccess permissões com acesso a uma função criada no IAM. Os principais elementos dessa política incluem:

  • O elemento principal dessa política de confiança especifica o principal AWS da conta. Nessa política, os diretores da AWS conta 111122223333 com sts:AssumeRole permissões podem assumir a função criada no IAM.

  • O Condition element dessa política de confiança especifica requisitos adicionais para elementos principais que podem assumir a função criada no IAM. Nessa política, o conjunto de permissões com o seguinte ARN do perfil pode assumir a função.

    arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
    nota

    O elemento Condition inclui o operador de condição ArnLike e usa um caractere curinga no final do ARN do perfil do conjunto de permissões, em vez de um sufixo exclusivo. Isso significa que a política permite que o conjunto de permissões assuma a função criada no IAM, mesmo que o ARN da função do conjunto de permissões mude. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
        }
      }
    }
  ]
}

    Incluir uma função que você cria no IAM em tal política fornecerá acesso emergencial aos seus clusters do Amazon EKS ou a outros AWS recursos se um conjunto de permissões ou todas as atribuições ao conjunto de permissões forem excluídas e recriadas acidentalmente. AWS KMS keys