Batas izin IAM

Batas izin adalah fitur AWS IAM lanjutan di mana izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM telah ditetapkan; di mana entitas tersebut adalah pengguna atau peran. Ketika batas izin ditetapkan untuk entitas, entitas tersebut hanya dapat melakukan tindakan yang diizinkan oleh kebijakan berbasis identitas dan batas izinnya.

Anda dapat memberikan batas izin sehingga semua entitas berbasis identitas yang dibuat oleh eksctl dibuat dalam batas tersebut. Contoh ini menunjukkan bagaimana batas izin dapat diberikan ke berbagai entitas berbasis identitas yang dibuat oleh eksctl:

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

Awas

Hal ini tidak mungkin untuk memberikan kedua peran ARN dan batas izin.

Mengatur Batas Izin VPC CNI

Harap dicatat bahwa ketika Anda membuat cluster dengan OIDC diaktifkan eksctl akan secara otomatis membuat untuk VPC-CNI iamserviceaccount untuk alasan keamanan. Jika Anda ingin menambahkan batas izin ke dalamnya maka Anda harus menentukan iamserviceaccount dalam file konfigurasi Anda secara manual:

iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"