Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Limite des autorisations IAM
Une limite d'autorisations est une fonctionnalité avancée d'AWS IAM dans laquelle les autorisations maximales qu'une politique basée sur l'identité peut accorder à une entité IAM ont été définies ; ces entités étant soit des utilisateurs, soit des rôles. Lorsqu'une limite d'autorisation est définie pour une entité, celle-ci ne peut effectuer que les actions autorisées à la fois par ses politiques basées sur l'identité et par ses limites d'autorisations.
Vous pouvez fournir votre limite d'autorisations afin que toutes les entités basées sur l'identité créées par eksctl soient créées dans cette limite. Cet exemple montre comment une limite d'autorisations peut être fournie aux différentes entités basées sur l'identité créées par eksctl :
apiVersion: eksctl.io/v1alpha5 kind: ClusterConfig metadata: name: cluster-17 region: us-west-2 iam: withOIDC: true serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary" fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary" serviceAccounts: - metadata: name: s3-reader attachPolicyARNs: - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess" permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary" nodeGroups: - name: "ng-1" desiredCapacity: 1 iam: instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
Avertissement
Il n'est pas possible de fournir à la fois un ARN de rôle et une limite d'autorisations.
Définition de la limite d'autorisation CNI du VPC
Veuillez noter que lorsque vous créez un cluster avec OIDC activé, eksctl en créera automatiquement un iamserviceaccount pour le VPC-CNI pour des raisons de sécurité. Si vous souhaitez y ajouter une limite d'autorisation, vous devez la spécifier manuellement iamserviceaccount dans votre fichier de configuration :
iam: serviceAccounts: - metadata: name: aws-node namespace: kube-system attachPolicyARNs: - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy" permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
