Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concedi pods l'accesso alle AWS risorse in base ai tag
EKS Pod Identity allega i tag alle credenziali temporanee di ciascun pod con attributi come nome cluster, spazio dei nomi, nome account di servizio. Questi tag di sessione di ruolo consentono agli amministratori di creare un singolo ruolo che può funzionare su più account di servizio, consentendo l'accesso alle risorse in base ai tag corrispondenti. AWS Aggiungendo il supporto per i tag di sessione dei ruoli, i clienti possono imporre limiti di sicurezza più rigorosi tra i cluster e i carichi di lavoro all'interno dei cluster, riutilizzando al contempo gli stessi ruoli IAM e le stesse policy IAM.
Ad esempio, la policy di seguito consente l'azione s3:GetObject
se l'oggetto è contrassegnato con il nome del cluster EKS.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectTagging" ], "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/eks-cluster-name": "${aws:PrincipalTag/eks-cluster-name}" } } } ] }
Elenco di tag di sessione aggiunti da EKS Pod Identity
L'elenco seguente contiene tutte le chiavi per i tag che vengono aggiunte alla richiesta AssumeRole
effettuata da Amazon EKS. Per utilizzare questi tag nelle policy, usa ${aws:PrincipalTag/
seguito dalla chiave, ad esempio ${aws:PrincipalTag/kubernetes-namespace}
.
eks-cluster-arn
eks-cluster-name
kubernetes-namespace
kubernetes-service-account
kubernetes-pod-name
kubernetes-pod-uid
Tag tra account
Tutti i tag di sessione aggiunti da EKS Pod Identity sono transitivi; le chiavi e i valori dei tag vengono passati a tutte le azioni AssumeRole
utilizzate dai carichi di lavoro per cambiare ruolo in un altro account. È possibile utilizzare questi tag nelle policy di altri account per limitare l'accesso in scenari tra account. Per ulteriori informazioni, consulta Concatenamento di ruoli con i tag di sessione nella Guida per l'utente di IAM.
Tag personalizzati
EKS Pod Identity non può aggiungere tag personalizzati supplementari all'azione AssumeRole
che esegue. Tuttavia, i tag applicati al ruolo IAM sono sempre disponibili nello stesso formato: ${aws:PrincipalTag/
seguito dalla chiave, ad esempio ${aws:PrincipalTag/MyCustomTag}
.
Nota
I tag aggiunti alla sessione tramite la richiesta sts:AssumeRole
hanno la precedenza in caso di conflitto. Ad esempio, supponiamo che Amazon EKS aggiunga una chiave eks-cluster-name
e un valore my-cluster
alla sessione quando EKS assume il ruolo di cliente. Hai aggiunto anche un tag eks-cluster-name
al ruolo IAM con valore my-own-cluster
. In questo caso, il primo ha la precedenza e il valore del tag eks-cluster-name
sarà my-cluster
.