Fonctionnement d'Amazon EKS avec IAM

Avant d'utiliser IAM pour gérer l'accès à Amazon EKS, vous devez comprendre quelles sont les fonctionnalités IAM qui peuvent être utilisées dans cette situation. Pour obtenir une vue d'ensemble de la manière dont Amazon EKS et les autres AWS services fonctionnent avec IAM, consultez la section AWS Services compatibles avec IAM dans le guide de l'utilisateur d'IAM.

Politiques basées sur l'identité Amazon EKS

Avec les politiques IAM basées sur l'identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon EKS est compatible avec des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez Références des éléments de politique JSON IAM dans le Guide de l'utilisateur IAM.

Actions

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément Action d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Les actions de stratégie portent généralement le même nom que l'opération AWS d'API associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.

Intégration d'actions dans une politique afin d'accorder l'autorisation d'exécuter les opérations associées.

Les actions de politique dans Amazon EKS utilisent le préfixe suivant avant l'action : eks:. Par exemple, pour accorder à une personne l'autorisation d'obtenir des informations descriptives sur un cluster Amazon EKS, incluez l'action DescribeCluster dans sa politique. Les déclarations de politique doivent inclure un élément Action ou NotAction.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :

"Action": ["eks:action1", "eks:action2"]

Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante :

"Action": "eks:Describe*"

Pour afficher la liste des actions Amazon EKS, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service de la Référence de l'autorisation de service.

Ressources

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

L’élément de politique JSON Resource indique le ou les objets pour lesquels l’action s’applique. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de définir une ressource à l’aide de son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.

Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.

"Resource": "*"

La ressource de cluster Amazon EKS intègre l'ARN suivant.

arn:aws:eks:region-code:account-id:cluster/cluster-name

Pour plus d'informations sur le format des ARN, consultez Amazon resource names (ARN) and AWS service namespaces.

Par exemple, pour spécifier le cluster dont le nom figure my-cluster dans votre instruction, utilisez l'ARN suivant :

"Resource": "arn:aws:eks:region-code:111122223333:cluster/my-cluster"

Pour spécifier tous les clusters appartenant à un compte spécifique et Région AWS utiliser le caractère générique (*) :

"Resource": "arn:aws:eks:region-code:111122223333:cluster/*"

Certaines actions Amazon EKS, telles que celles destinées à la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).

"Resource": "*"

Pour afficher la liste des types de ressources Amazon EKS et leurs ARN, consultez la rubrique Ressources définies par Amazon Elastic Kubernetes Service de la Référence de l'autorisation de service. Pour connaître les actions avec lesquelles vous pouvez spécifier l'ARN de chaque ressource, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service.

Clés de condition

Amazon EKS définit son propre ensemble de clés de condition et est également compatible avec l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, consultez la section Clés contextuelles de condition AWS globale dans le guide de l'utilisateur IAM.

Vous pouvez définir des clés de condition lors de l'association d'un fournisseur OpenID Connect à votre cluster. Pour plus d’informations, consultez Exemple de politique IAM.

Toutes les actions Amazon EC2 prennent en charge les clés de condition aws:RequestedRegion et ec2:Region. Pour plus d'informations, voir Exemple : restriction de l'accès à un élément spécifique Région AWS.

Pour obtenir la liste des clés de condition Amazon EKS, consultez la rubrique Conditions définies par Amazon Elastic Kubernetes Service de la Référence de l'autorisation de service. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service.

Exemples

Pour voir des exemples de politiques Amazon EKS basées sur l'identité, consultez Exemples de politiques basées sur l'identité d'Amazon EKS.

Lorsque vous créez un cluster Amazon EKS, le principal IAM qui crée le cluster se voit automatiquement accorder des autorisations system:masters dans la configuration du contrôle d'accès basé sur les rôles (RBAC) du cluster dans le plan de contrôle Amazon EKS. Ce principal n'apparaît dans aucune configuration visible. Souvenez-vous donc du principal qui a créé le cluster à l'origine. Pour permettre à d'autres principaux IAM d'interagir avec votre cluster, modifiez la ConfigMap aws-auth dans Kubernetes et créez un rolebinding ou un clusterrolebinding Kubernetes avec le nom d'un group que vous spécifiez dans la ConfigMap aws-auth.

Pour plus d'informations sur l'utilisation du ConfigMap, consultezAccorder IAM aux utilisateurs et aux rôles l'accès à KubernetesAPIs.

Politiques basées sur les ressources Amazon EKS

Amazon EKS ne prend pas en charge les politiques basées sur les ressources.

Autorisation basée sur des identifications Amazon EKS

Vous pouvez attacher des identifications aux ressources Amazon EKS ou transmettre des identifications dans une demande à Amazon EKS. Pour contrôler l'accès basé sur des identifications, vous devez fournir les informations d'identifications dans l'élément de condition d'une politique utilisant les clés de condition aws:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys. Pour plus d'informations sur l'étiquetage des ressources Amazon EKS, consultez Organisez les ressources Amazon EKS à l'aide de balises. Pour plus d'informations sur les actions dans lesquelles vous pouvez utiliser des balises avec des clés de condition, consultez Actions définies par Amazon EKS dans Référence de l'autorisation de service.

Rôles IAM Amazon EKS

Un rôle IAM est une entité de votre AWS compte qui possède des autorisations spécifiques.

Utilisation d'informations d'identification temporaires avec Amazon EKS

Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que AssumeRoleou GetFederationToken.

Amazon EKS est compatible avec l'utilisation des informations d'identification temporaires.

Rôles liés à un service

Les rôles liés aux AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur peut afficher, mais ne peut pas modifier les autorisations concernant les rôles liés à un service.

Amazon EKS prend en charge les rôles liés à un service. Pour plus d'informations sur la création ou la gestion des rôles liés à un service Amazon EKS, consultez Utilisation des rôles liés à un service pour Amazon EKS.

Rôles de service

Cette fonction permet à un service d’endosser une fonction du service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les fonctions du service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

Amazon EKS prend en charge les rôles de service. Pour plus d'informations, consultez Rôle IAM de cluster Amazon EKS et Rôle IAM de nœud Amazon EKS.

Choix d'un rôle IAM dans Amazon EKS

Lorsque vous créez une ressource de cluster dans Amazon EKS, vous devez choisir un rôle pour permettre à Amazon EKS d'accéder à plusieurs autres AWS ressources en votre nom. Si vous avez déjà créé un rôle de service, Amazon EKS vous propose une liste de rôles parmi lesquels choisir. Il est important de choisir un rôle auquel les politiques gérées par Amazon EKS sont attachées. Pour plus d'informations, consultez Recherche d'un rôle de cluster existant et Recherche d'un rôle de nœud existant.