Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come EKS funziona Amazon con IAM
Prima di utilizzare IAM per gestire l'accesso ad AmazonEKS, è necessario comprendere quali IAM funzionalità sono disponibili per l'uso con AmazonEKS. Per avere una panoramica generale del funzionamento di Amazon EKS e di altri AWS serviziIAM, consulta AWS i servizi con cui funzionano IAM nella Guida per l'IAMutente.
Argomenti
EKSPolitiche basate sull'identità di Amazon
Con le politiche IAM basate sull'identità, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. Amazon EKS supporta azioni, risorse e chiavi di condizione specifiche. Per conoscere tutti gli elementi utilizzati in una JSON policy, consulta il riferimento agli elementi IAM JSON della policy nella Guida per l'IAMutente.
Azioni
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'Actionelemento di una JSON policy descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a una policy. Le azioni politiche in genere hanno lo stesso nome dell' AWS APIoperazione associata. Esistono alcune eccezioni, come le azioni basate solo sulle autorizzazioni che non hanno un'operazione corrispondente. API Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includi le operazioni in una policy per concedere le autorizzazioni a eseguire l'operazione associata.
Le azioni politiche in Amazon EKS utilizzano il seguente prefisso prima dell'azione:eks:. Ad esempio, per concedere a qualcuno il permesso di ottenere informazioni descrittive su un EKS cluster Amazon, includi l'DescribeClusterazione nella sua politica. Le istruzioni della policy devono includere un elemento Action o NotAction.
Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": ["eks:action1", "eks:action2"]
È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:
"Action": "eks:Describe*"
Per visualizzare un elenco di EKS azioni Amazon, consulta Azioni definite da Amazon Elastic Kubernetes Service nel Service Authorization Reference.
Risorse
Gli amministratori possono utilizzare AWS JSON le policy per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento Resource JSON policy specifica l'oggetto o gli oggetti a cui si applica l'azione. Le istruzioni devono includere un elemento Resourceo un elemento NotResource. Come best practice, specifica una risorsa utilizzando il relativo Amazon Resource Name (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
La risorsa del EKS cluster Amazon ha quanto segueARN.
arn:aws:eks:region-code:account-id:cluster/cluster-name
Per ulteriori informazioni sul formato diARNs, consulta Amazon resource names (ARNs) e AWS service namespaces.
Ad esempio, per specificare il cluster con il nome my-cluster
"Resource": "arn:aws:eks:region-code:111122223333:cluster/my-cluster"
Per specificare tutti i cluster che appartengono a un account specifico e Regione AWS, usa il carattere jolly (*):
"Resource": "arn:aws:eks:region-code:111122223333:cluster/*"
Alcune EKS azioni di Amazon, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Per visualizzare un elenco dei tipi di EKS risorse Amazon e relativiARNs, consulta Resources defined by Amazon Elastic Kubernetes Service nel Service Authorization Reference. Per sapere con quali azioni puoi specificare il tipo ARN di ciascuna risorsa, consulta Azioni definite da Amazon Elastic Kubernetes Service.
Chiavi di condizione
Amazon EKS definisce il proprio set di chiavi di condizione e supporta anche l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella Guida IAM per l'utente.
Puoi impostare le chiavi di condizione quando si associa un provider OpenID Connect al cluster. Per ulteriori informazioni, consulta IAMPolitica di esempio.
Tutte le EC2 azioni di Amazon supportano le chiavi aws:RequestedRegion e ec2:Region condition. Per ulteriori informazioni, consulta Esempio: limitazione dell'accesso a uno specifico Regione AWS.
Per un elenco delle chiavi di EKS condizione di Amazon, consulta Conditions defined by Amazon Elastic Kubernetes Service nel Service Authorization Reference. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consultare Operazioni definite da Amazon Elastic Kubernetes Service.
Esempi
Per visualizzare esempi di politiche EKS basate sull'identità di Amazon, consulta. Esempi di policy basate su identità Amazon EKS
Quando crei un EKS cluster Amazon, al IAMprincipale che crea il cluster vengono automaticamente concesse system:masters le autorizzazioni nella configurazione di controllo degli accessi (RBAC) basata sui ruoli del cluster nel piano di controllo AmazonEKS. Questo principale IAM non viene visualizzato in una configurazione visibile qualsiasi, quindi assicurati di tenere traccia di quale principale IAM ha originariamente creato il cluster. Per concedere ad altri IAM principali la possibilità di interagire con il tuo cluster, modificane l'aws-authConfigMapinterno Kubernetes e crea un Kubernetes rolebinding or clusterrolebinding con il nome di uno specificato group in. aws-auth ConfigMap
Per ulteriori informazioni sull'utilizzo di ConfigMap, vedereConcedi a IAM utenti e ruoli l'accesso a Kubernetes APIs.
Politiche basate EKS sulle risorse di Amazon
Amazon EKS non supporta politiche basate sulle risorse.
Autorizzazione basata sui EKS tag Amazon
Puoi allegare tag alle EKS risorse Amazon o passare i tag in una richiesta ad AmazonEKS. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys. Per ulteriori informazioni sull'etichettatura EKS delle risorse Amazon, consultaOrganizza le risorse Amazon EKS con i tag. Per ulteriori informazioni sulle azioni con cui puoi utilizzare i tag nelle chiavi di condizione, consulta Azioni definite da Amazon EKS nel Service Authorization Reference.
EKSIAMRuoli Amazon
Un IAMruolo è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Amazon EKS
Puoi utilizzare credenziali temporanee per accedere con la federazione, assumere un IAM ruolo o assumere un ruolo tra account. È possibile ottenere credenziali di sicurezza temporanee chiamando AWS STS API operazioni come o. AssumeRoleGetFederationToken
Amazon EKS supporta l'utilizzo di credenziali temporanee.
Ruoli collegati ai servizi
I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per tuo conto. I ruoli collegati ai servizi vengono visualizzati nell'IAMaccount e sono di proprietà del servizio. Un amministratore può visualizzare, ma non può modificare le autorizzazioni dei ruoli collegati ai servizi.
Amazon EKS supporta ruoli collegati ai servizi. Per dettagli sulla creazione o la gestione di ruoli EKS collegati ad Amazon Service, consulta. Utilizzo di ruoli collegati ai servizi per Amazon EKS
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nel tuo IAM account e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
Amazon EKS supporta i ruoli di servizio. Per ulteriori informazioni, consulta Ruolo IAM del cluster Amazon EKS e Ruolo IAM del nodo Amazon EKS.
Scegliere un IAM ruolo in Amazon EKS
Quando crei una risorsa cluster in AmazonEKS, devi scegliere un ruolo per consentire ad Amazon di accedere EKS a diverse altre AWS risorse per tuo conto. Se in precedenza hai creato un ruolo di servizio, Amazon ti EKS fornisce un elenco di ruoli tra cui scegliere. È importante scegliere un ruolo a cui siano associate le policy EKS gestite da Amazon. Per ulteriori informazioni, consulta Verifica della presenza di un ruolo del cluster esistente e Verifica della presenza di un ruolo di nodo esistente.
