Grenze der IAM-Berechtigungen - Eksctl-Benutzerhandbuch
Festlegung der VPC-CNI-Berechtigungsgrenze

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grenze der IAM-Berechtigungen

Eine Berechtigungsgrenze ist eine erweiterte AWS IAM-Funktion, in der die maximalen Berechtigungen festgelegt wurden, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann. Dabei handelt es sich bei diesen Entitäten entweder um Benutzer oder Rollen. Wenn für eine Entität eine Berechtigungsgrenze festgelegt ist, kann diese Entität nur die Aktionen ausführen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind.

Sie können Ihre Berechtigungsgrenze so angeben, dass alle von eksctl erstellten identitätsbasierten Entitäten innerhalb dieser Grenze erstellt werden. Dieses Beispiel zeigt, wie den verschiedenen identitätsbasierten Entitäten, die von eksctl erstellt wurden, eine Berechtigungsgrenze zugewiesen werden kann:

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
Warnung

Es ist nicht möglich, sowohl einen Rollen-ARN als auch eine Berechtigungsgrenze anzugeben.

Festlegung der VPC-CNI-Berechtigungsgrenze

Bitte beachten Sie, dass eksctl bei der Erstellung eines Clusters mit aktiviertem OIDC aus Sicherheitsgründen automatisch einen iamserviceaccount für das VPC-CNI erstellt. Wenn Sie eine Berechtigungsgrenze hinzufügen möchten, müssen Sie die in Ihrer Konfigurationsdatei manuell angeben: iamserviceaccount

iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"