Referenciando conjuntos de permissões em políticas de recursos, mapas de configuração do Amazon EKS Cluster e AWS KMS políticas principais - AWS IAM Identity Center
Recomendações para evitar interrupções no acessoExemplos de políticas personalizadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Referenciando conjuntos de permissões em políticas de recursos, mapas de configuração do Amazon EKS Cluster e AWS KMS políticas principais

Quando você atribui um conjunto de permissões a uma AWS conta, o IAM Identity Center cria uma função com um nome que começa comAWSReservedSSO_.

O nome completo e o Amazon Resource Name (ARN) da função usam o seguinte formato:

Nome ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO_permission-set-name_unique-suffix

Se sua fonte de IAM identidade no Identity Center estiver hospedada em us-east-1, não há aws-region nenhuma no. ARN O nome completo e ARN para a função use o seguinte formato:

Nome ARN
AWSReservedSSO_permission-set-name_unique-suffix arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO_permission-set-name_unique-suffix

Por exemplo, se você criar um conjunto de permissões que conceda acesso à AWS conta aos administradores do banco de dados, uma função correspondente será criada com o seguinte nome eARN:

Nome ARN
AWSReservedSSO_DatabaseAdministrator_1234567890abcdef arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_1234567890abcdef

Se você excluir todas as atribuições desse conjunto de permissões na AWS conta, a função correspondente criada pelo IAM Identity Center também será excluída. Se você fizer uma nova atribuição ao mesmo conjunto de permissões posteriormente, o IAM Identity Center criará uma nova função para o conjunto de permissões. O nome e ARN a nova função incluem um sufixo diferente e exclusivo. Neste exemplo, o sufixo exclusivo é abcdef0123456789.

Nome ARN
AWSReservedSSO_DatabaseAdministrator_abcdef0123456789 arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_DatabaseAdministrator_abcdef0123456789

A alteração do sufixo no novo nome e ARN na função fará com que quaisquer políticas que façam referência ARN ao nome original e sejam out-of-date, o que interromperá o acesso de indivíduos que usam o conjunto de permissões correspondente. Por exemplo, uma alteração na ARN função interromperá o acesso dos usuários ao conjunto de permissões se o original ARN for referenciado nas seguintes configurações:

  • No aws-auth ConfigMap arquivo para clusters do Amazon Elastic Kubernetes Service (EKSAmazon) quando você aws-auth ConfigMap usa o para acesso ao cluster.

  • Em uma política baseada em recursos para uma chave AWS Key Management Service (AWS KMS). Essa política também é referenciada como política de chave.

nota

Recomendamos que você use entradas de EKS acesso da Amazon para gerenciar o acesso aos seus EKS clusters da Amazon. Isso permite que você use IAM permissões para gerenciar os principais que têm acesso a um EKS cluster da Amazon. Ao usar as entradas de EKS acesso da Amazon, você pode usar um IAM principal com EKS permissões da Amazon para recuperar o acesso a um cluster sem entrar em contato AWS Support.

Embora você possa atualizar as políticas baseadas em recursos para a maioria dos AWS serviços ARN para referenciar uma nova função que corresponda a um conjunto de permissões, você deve ter uma função de backup criada na IAM Amazon EKS e AWS KMS se as ARN mudanças ocorrerem. Para a AmazonEKS, a IAM função de backup deve existir noaws-auth ConfigMap. Pois AWS KMS, ele deve existir em suas principais políticas. Se você não tiver uma IAM função de backup com permissões para atualizar a política aws-auth ConfigMap ou a política de AWS KMS chaves, entre em contato AWS Support para recuperar o acesso a esses recursos.

Recomendações para evitar interrupções no acesso

Para evitar interrupções no acesso devido a alterações na função que corresponde a um conjunto de permissões, recomendamos que você faça o seguinte. ARN

  • Mantenha pelo menos uma atribuição de conjunto de permissões.

    Mantenha essa atribuição nas AWS contas que contêm as funções que você faz referência na AmazonEKS, nas principais políticas ou nas AWS KMS políticas baseadas em recursos aws-auth ConfigMap para outras. Serviços da AWS

    Por exemplo, se você criar um conjunto de EKSAccess permissões e referenciar a função correspondente ARN da AWS conta111122223333, atribua permanentemente um grupo administrativo ao conjunto de permissões dessa conta. Como a atribuição é permanente, o IAM Identity Center não excluirá a função correspondente, o que elimina o risco de renomeação. O grupo administrativo sempre terá acesso sem o risco de escalação de privilégios.

  • Para EKS clusters da Amazon que usam aws-auth ConfigMap e AWS KMS: Incluem uma função criada emIAM.

    Se você referenciar uma função ARNs para conjuntos de permissões em um aws-auth ConfigMap EKS cluster da Amazon ou em políticas de AWS KMS chaves para chaves, recomendamos que você também inclua pelo menos uma função criada por vocêIAM. A função deve permitir que você acesse o EKS cluster da Amazon ou gerencie a política de AWS KMS chaves. O conjunto de permissões deve ser capaz de assumir essa função. Dessa forma, se a função ARN de um conjunto de permissões mudar, você poderá atualizar a referência para a política ARN na aws-auth ConfigMap ou AWS KMS chave. A próxima seção fornece um exemplo de como você pode criar uma política de confiança para uma função criada emIAM. A função só pode ser assumida por um conjunto de permissões AdministratorAccess.

Exemplos de políticas personalizadas

Veja a seguir um exemplo de uma política de confiança personalizada que fornece um conjunto de AdministratorAccess permissões com acesso a uma função criada emIAM. Os principais elementos dessa política incluem:

  • O elemento principal dessa política de confiança especifica o principal AWS da conta. Nessa política, os diretores da AWS conta 111122223333 com sts:AssumeRole permissões podem assumir a função criada emIAM.

  • Esta política Condition element de confiança especifica requisitos adicionais para diretores que podem assumir a função criada em. IAM Nessa política, a permissão definida com a função a seguir ARN pode assumir a função.

    arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
    nota

    O Condition elemento inclui o operador de ArnLike condição e usa um curinga no final da função do conjunto de permissõesARN, em vez de um sufixo exclusivo. Isso significa que a política permite que o conjunto de permissões assuma a função criada em, IAM mesmo que a função do conjunto ARN de permissões mude. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
        }
      }
    }
  ]
}

    Incluir uma função que você cria IAM nessa política fornecerá acesso emergencial aos seus EKS clusters da Amazon ou a outros AWS recursos se um conjunto de permissões ou todas as atribuições ao conjunto de permissões forem excluídas e recriadas acidentalmente. AWS KMS keys