Límite de permisos de IAM

Un límite de permisos es una función avanzada de IAM de AWS en la que se han establecido los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM; esas entidades son usuarios o roles. Cuando se establece un límite de permisos para una entidad, esa entidad solo puede realizar las acciones que estén permitidas tanto por sus políticas basadas en la identidad como por sus límites de permisos.

Puede proporcionar su límite de permisos para que todas las entidades basadas en la identidad creadas por eksctl se creen dentro de ese límite. En este ejemplo se muestra cómo se puede proporcionar un límite de permisos a las distintas entidades basadas en la identidad que crea eksctl:

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

aviso

No es posible proporcionar un ARN de rol y un límite de permisos.

Configuración del límite de permisos de la VPC CNI

Tenga en cuenta que cuando cree un clúster con OIDC habilitado, eksctl creará automáticamente un iamserviceaccount para el VPC-CNI por motivos de seguridad. Si quieres añadirle un límite de permisos, debes especificarlo manualmente en tu archivo de configuración: iamserviceaccount

iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"