Concedi pods l'accesso alle AWS risorse in base ai tag - Amazon EKS
Elenco di tag di sessioneTag tra accountTag personalizzati

Aiutaci a migliorare questa pagina

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concedi pods l'accesso alle AWS risorse in base ai tag

EKS Pod Identity allega i tag alle credenziali temporanee di ciascun pod con attributi come nome cluster, spazio dei nomi, nome account di servizio. Questi tag di sessione di ruolo consentono agli amministratori di creare un singolo ruolo che può funzionare su più account di servizio, consentendo l'accesso alle risorse in base ai tag corrispondenti. AWS Aggiungendo il supporto per i tag di sessione dei ruoli, i clienti possono imporre limiti di sicurezza più rigorosi tra i cluster e i carichi di lavoro all'interno dei cluster, riutilizzando al contempo gli stessi ruoli IAM e le stesse policy IAM.

Ad esempio, la policy di seguito consente l'azione s3:GetObject se l'oggetto è contrassegnato con il nome del cluster EKS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectTagging"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3:ExistingObjectTag/eks-cluster-name": "${aws:PrincipalTag/eks-cluster-name}"
                }
            }
        }
    ]
}

Elenco di tag di sessione aggiunti da EKS Pod Identity

L'elenco seguente contiene tutte le chiavi per i tag che vengono aggiunte alla richiesta AssumeRole effettuata da Amazon EKS. Per utilizzare questi tag nelle policy, usa ${aws:PrincipalTag/ seguito dalla chiave, ad esempio ${aws:PrincipalTag/kubernetes-namespace}.

  • eks-cluster-arn

  • eks-cluster-name

  • kubernetes-namespace

  • kubernetes-service-account

  • kubernetes-pod-name

  • kubernetes-pod-uid

Tag tra account

Tutti i tag di sessione aggiunti da EKS Pod Identity sono transitivi; le chiavi e i valori dei tag vengono passati a tutte le azioni AssumeRole utilizzate dai carichi di lavoro per cambiare ruolo in un altro account. È possibile utilizzare questi tag nelle policy di altri account per limitare l'accesso in scenari tra account. Per ulteriori informazioni, consulta Concatenamento di ruoli con i tag di sessione nella Guida per l'utente di IAM.

Tag personalizzati

EKS Pod Identity non può aggiungere tag personalizzati supplementari all'azione AssumeRole che esegue. Tuttavia, i tag applicati al ruolo IAM sono sempre disponibili nello stesso formato: ${aws:PrincipalTag/ seguito dalla chiave, ad esempio ${aws:PrincipalTag/MyCustomTag}.

Nota

I tag aggiunti alla sessione tramite la richiesta sts:AssumeRole hanno la precedenza in caso di conflitto. Ad esempio, supponiamo che Amazon EKS aggiunga una chiave eks-cluster-name e un valore my-cluster alla sessione quando EKS assume il ruolo di cliente. Hai aggiunto anche un tag eks-cluster-name al ruolo IAM con valore my-own-cluster. In questo caso, il primo ha la precedenza e il valore del tag eks-cluster-name sarà my-cluster.