Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol akses berbasis atribut (ABAC) memberikan hak kepada pengguna melalui kebijakan yang menggabungkan atribut bersama-sama. EKS Pod Identity melampirkan tag ke kredensial sementara untuk setiap Pod dengan atribut seperti nama cluster, namespace, dan nama akun layanan. Tag sesi peran ini memungkinkan administrator untuk membuat peran tunggal yang dapat bekerja di seluruh akun layanan dengan mengizinkan akses ke AWS sumber daya berdasarkan tag yang cocok. Dengan menambahkan dukungan untuk tag sesi peran, pelanggan dapat menegakkan batasan keamanan yang lebih ketat antara cluster, dan beban kerja dalam cluster, sambil menggunakan kembali peran IAM dan kebijakan IAM yang sama.
Misalnya, kebijakan berikut memungkinkan s3:GetObject tindakan jika objek ditandai dengan nama kluster EKS.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectTagging"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/eks-cluster-name": "${aws:PrincipalTag/eks-cluster-name}"
}
}
}
]
}Daftar tag sesi yang ditambahkan oleh EKS Pod Identity
Daftar berikut berisi semua kunci untuk tag yang ditambahkan ke AssumeRole permintaan yang dibuat oleh Amazon EKS. Untuk menggunakan tag ini dalam kebijakan, gunakan ${aws:PrincipalTag/ diikuti oleh kunci, misalnya${aws:PrincipalTag/kubernetes-namespace}.
-
eks-cluster-arn -
eks-cluster-name -
kubernetes-namespace -
kubernetes-service-account -
kubernetes-pod-name -
kubernetes-pod-uid
Tag lintas akun
Semua tag sesi yang ditambahkan oleh EKS Pod Identity bersifat transitif; kunci dan nilai tag diteruskan ke AssumeRole tindakan apa pun yang digunakan beban kerja Anda untuk beralih peran ke akun lain. Anda dapat menggunakan tag ini dalam kebijakan di akun lain untuk membatasi akses dalam skenario lintas akun. Untuk informasi selengkapnya, lihat Merantai peran dengan tag sesi di Panduan Pengguna IAM.
Tag kustom
EKS Pod Identity tidak dapat menambahkan tag kustom tambahan ke AssumeRole tindakan yang dilakukannya. Namun, tag yang Anda terapkan ke peran IAM selalu tersedia meskipun format yang sama: ${aws:PrincipalTag/ diikuti oleh kunci, misalnya${aws:PrincipalTag/MyCustomTag}.
catatan
Tag yang ditambahkan ke sesi melalui sts:AssumeRole permintaan diutamakan dalam kasus konflik. Misalnya, katakan bahwa:
-
Amazon EKS menambahkan kunci
eks-cluster-namedan nilaimy-clusterke sesi ketika EKS mengasumsikan peran pelanggan dan -
Anda menambahkan
eks-cluster-nametag ke peran IAM dengan nilaimy-own-cluster.
Dalam hal ini, yang pertama diutamakan dan nilai untuk eks-cluster-name tag akan menjadi. my-cluster
