Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Limite delle autorizzazioni IAM
Un limite di autorizzazioni è una funzionalità avanzata di AWS IAM in cui sono state impostate le autorizzazioni massime che una policy basata sull'identità può concedere a un'entità IAM, laddove tali entità siano utenti o ruoli. Quando viene impostato un limite di autorizzazioni per un'entità, tale entità può eseguire solo le azioni consentite sia dalle sue politiche basate sull'identità che dai suoi limiti di autorizzazioni.
Puoi fornire il limite delle tue autorizzazioni in modo che tutte le entità basate sull'identità create da eksctl vengano create all'interno di quel limite. Questo esempio dimostra come è possibile fornire un limite di autorizzazioni alle varie entità basate sull'identità create da eksctl:
apiVersion: eksctl.io/v1alpha5 kind: ClusterConfig metadata: name: cluster-17 region: us-west-2 iam: withOIDC: true serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary" fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary" serviceAccounts: - metadata: name: s3-reader attachPolicyARNs: - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess" permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary" nodeGroups: - name: "ng-1" desiredCapacity: 1 iam: instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
avvertimento
Non è possibile fornire sia un ARN di ruolo che un limite di autorizzazioni.
Impostazione del limite di autorizzazione VPC CNI
Tieni presente che quando crei un cluster con OIDC abilitato eksctl creerà automaticamente un iamserviceaccount per VPC-CNI per motivi di sicurezza. Se desideri aggiungere un limite di autorizzazione, devi specificarlo manualmente nel tuo file di configurazione: iamserviceaccount
iam: serviceAccounts: - metadata: name: aws-node namespace: kube-system attachPolicyARNs: - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy" permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
