授權 pods 根據標籤存取 AWS 資源 - Amazon EKS
EKS Pod Identity 新增的工作階段標籤清單跨帳戶標籤自訂標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授權 pods 根據標籤存取 AWS 資源

EKS Pod Identity 會將標籤連接至具有叢集名稱、命名空間、服務帳戶名稱等屬性的每個 Pod 的臨時憑證。這些角色工作階段標籤可讓管理員撰寫單一角色,允許根據相符標籤存取 AWS 資源,以便在服務帳戶間運作。透過新增角色工作階段標籤的支援,客戶可以在叢集和叢集內的工作負載之間強制執行更嚴格的安全界限,同時重複使用相同的 IAM 角色和 IAM 政策。

例如,如果物件已標記 EKS 叢集的名稱,則下列政策允許 s3:GetObject動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectTagging"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/eks-cluster-name": "${aws:PrincipalTag/eks-cluster-name}"
                }
            }
        }
    ]
}

EKS Pod Identity 新增的工作階段標籤清單

下列清單包含新增至 Amazon EKS 所提出AssumeRole請求之標籤的所有金鑰。以 ${aws:PrincipalTag/kubernetes-namespace} 為例,若要在政策中使用這些標籤,請在 ${aws:PrincipalTag/ 後面使用金鑰。

  • eks-cluster-arn

  • eks-cluster-name

  • kubernetes-namespace

  • kubernetes-service-account

  • kubernetes-pod-name

  • kubernetes-pod-uid

跨帳戶標籤

EKS Pod Identity 新增的所有工作階段標籤都是暫時性的;標籤索引鍵和值會傳遞給工作負載用來將角色切換到另一個帳戶的任何AssumeRole動作。您可以在其他帳戶的政策中使用這些標籤,以限制跨帳戶情況中的存取。如需詳細資訊,請參閱 IAM 使用者指南中的使用工作階段標籤鏈結角色

自訂標籤

EKS Pod Identity 無法將其他自訂標籤新增至其執行AssumeRole的動作。不過,您套用至 IAM 角色的標籤一律可透過相同格式使用:${aws:PrincipalTag/後面接著 金鑰,例如 ${aws:PrincipalTag/MyCustomTag}

注意

在發生衝突的情況下,透過 sts:AssumeRole 請求新增至工作階段的標籤具有優先順序。例如,假設:

  • 當 EKS 擔任客戶角色eks-cluster-name時,Amazon EKS 會my-cluster為工作階段新增金鑰和值,且

  • 您可以將eks-cluster-name標籤新增至值為 的 IAM 角色my-own-cluster

在此情況下,前者優先,標籤的值eks-cluster-name將為 my-cluster