Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon EKS, Anda harus memahami fitur-fitur IAM apa yang tersedia untuk digunakan dengan Amazon EKS. Untuk mendapatkan tampilan tingkat tinggi tentang cara Amazon EKS dan AWS layanan lainnya bekerja dengan IAM, lihat AWS layanan yang bekerja dengan IAM di Panduan Pengguna IAM.
Topik
Kebijakan berbasis identitas Amazon EKS
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan apakah tindakan dan sumber daya diizinkan atau ditolak, serta persyaratan terkait diizinkan atau ditolak-nya tindakan tersebut. Amazon EKS mendukung tindakan, sumber daya, dan kunci syarat tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat Referensi elemen kebijakan IAM JSON dalam Panduan Pengguna IAM.
Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.
Elemen Action dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan operasi AWS API terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi API yang cocok. Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.
Sertakan tindakan dalam kebijakan untuk memberikan izin pelaksanaan operasi yang terkait.
Tindakan kebijakan di Amazon EKS menggunakan prefiks berikut sebelum tindakan: eks:. Misalnya, untuk memberikan izin kepada seseorang agar mendapatkan informasi deskriptif tentang klaster Amazon EKS, Anda menyertakan tindakan DescribeCluster dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
"Action": ["eks:action1", "eks:action2"]Anda dapat menentukan beberapa tindakan menggunakan wildcard (*). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut:
"Action": "eks:Describe*"Untuk melihat daftar tindakan Amazon EKS, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.
Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana utama dapat melakukan tindakan pada sumber daya, dan dalam kondisi apa.
Elemen kebijakan JSON Resource menentukan objek yang menjadi target penerapan tindakan. Pernyataan harus menyertakan elemen Resource atau NotResource. Praktik terbaiknya, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.
Untuk tindakan yang tidak mendukung izin tingkat sumber daya, seperti operasi daftar, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
"Resource": "*"
Sumber daya cluster Amazon EKS memiliki ARN berikut.
arn:aws: eks:region-code:account-id:cluster/cluster-name
Untuk informasi selengkapnya tentang format ARNs, lihat Amazon resource names (ARNs) dan ruang nama AWS layanan.
Misalnya, untuk menentukan cluster dengan nama my-cluster dalam pernyataan Anda, gunakan ARN berikut:
"Resource": "arn:aws: eks:region-code:111122223333:cluster/my-cluster"Untuk menentukan semua cluster milik akun dan AWS Wilayah tertentu, gunakan wildcard (*):
"Resource": "arn:aws: eks:region-code:111122223333:cluster/*"Beberapa tindakan Amazon EKS, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).
"Resource": "*"Untuk melihat daftar jenis sumber daya Amazon EKS dan jenisnya ARNs, lihat Sumber daya yang ditentukan oleh Amazon Elastic Kubernetes Service dalam Referensi Otorisasi Layanan. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap resource, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service.
Kunci syarat
Amazon EKS menentukan set kunci syaratnya sendiri dan juga mendukung penggunaan beberapa kunci syarat global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan Pengguna IAM.
Anda dapat mengatur kunci syarat ketika mengaitkan penyedia OpenID Connect ke klaster Anda. Untuk informasi selengkapnya, lihat Contoh kebijakan IAM.
Semua EC2 tindakan Amazon mendukung kunci aws:RequestedRegion dan ec2:Region kondisi. Untuk informasi selengkapnya, lihat Contoh: Membatasi Akses ke AWS Wilayah Tertentu.
Untuk daftar kunci kondisi Amazon EKS, lihat Ketentuan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service.
Contoh
Untuk melihat contoh kebijakan berbasis identitas Amazon EKS, lihat Contoh kebijakan berbasis identitas Amazon EKS.
Saat Anda membuat klaster Amazon EKS, prinsipal IAM yang membuat klaster secara otomatis diberikan system:masters izin dalam konfigurasi kontrol akses berbasis peran (RBAC) klaster di bidang kontrol Amazon EKS. Prinsipal ini tidak muncul dalam konfigurasi yang terlihat, jadi pastikan untuk melacak prinsipal mana yang awalnya membuat cluster. Untuk memberikan prinsipal IAM tambahan kemampuan untuk berinteraksi dengan klaster Anda, edit bagian aws-auth ConfigMap dalam Kubernetes dan buat Kubernetes rolebinding atau clusterrolebinding dengan nama yang Anda tentukan di dalamnya. group aws-auth ConfigMap
Untuk informasi lebih lanjut tentang bekerja dengan ConfigMap, lihatBerikan akses kepada pengguna dan peran IAM ke Kubernetes APIs.
kebijakan berbasis sumber daya Amazon EKS
Amazon EKS tidak mendukung kebijakan berbasis sumber daya.
Otorisasi berdasarkan tanda Amazon EKS
Anda dapat melampirkan tanda ke sumber daya Amazon EKS atau meneruskan tanda dalam sebuah permintaan ke Amazon EKS. Untuk mengendalikan akses berdasarkan tanda, Anda dapat memberikan informasi tentang tanda di elemen syarat kebijakan menggunakan kunci kondisi aws:ResourceTag/, key-name
aws:RequestTag/, atau key-name
aws:TagKeys. Untuk informasi selengkapnya tentang penandaan sumber daya Amazon EKS, lihat Mengatur sumber daya Amazon EKS dengan tag. Untuk informasi selengkapnya tentang tindakan yang dapat Anda gunakan dengan tag dalam kunci kondisi, lihat Tindakan yang ditentukan oleh Amazon EKS di Referensi Otorisasi Layanan.
IAM role Amazon EKS
Peran IAM adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
Menggunakan kredensial sementara dengan Amazon EKS
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil operasi AWS STS API seperti AssumeRoleatau. GetFederationToken
Amazon EKS mendukung penggunaan kredensial sementara.
Peran terkait layanan
link:IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role[Service-linked roles,type="documentation"] allow {aws} services to access resources in other services to complete an action on your behalf. Service-linked roles appear in your IAM account and are owned by the service. An administrator can view but can't edit the permissions for service-linked roles.Amazon EKS mendukung peran tertaut-layanan. Untuk informasi selengkapnya tentang cara membuat atau mengelola peran tertaut layanan Amazon EKS, lihat Menggunakan peran tertaut layanan untuk Amazon EKS.
Peran layanan
Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, hal itu dapat merusak fungsionalitas layanan.
Amazon EKS mendukung peran layanan. Untuk informasi selengkapnya, silakan lihat IAM role klaster Amazon EKS dan IAM role simpul Amazon EKS.
Memilih IAM role di Amazon EKS
Saat Anda membuat sumber daya kluster di Amazon EKS, Anda harus memilih peran untuk memungkinkan Amazon EKS mengakses beberapa AWS sumber daya lain atas nama Anda. Jika sebelumnya Anda telah membuat peran layanan, maka Amazon EKS akan memberi Anda daftar peran untuk dipilih. Penting untuk memilih peran yang memiliki kebijakan terkelola Amazon EKS yang melekat padanya. Untuk informasi selengkapnya, silakan lihat Periksa apakah peran klaster sudah ada dan Periksa apakah peran simpul sudah ada.
