Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Funzionamento di Amazon EKS con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon EKS, è necessario comprendere quali funzioni IAM sono disponibili per l'uso con Amazon EKS. Per avere una visione di alto livello di come Amazon EKS e altri AWS servizi funzionano con IAM, consulta AWS i servizi che funzionano con IAM nella IAM User Guide.
Argomenti
Policy basate su identità Amazon EKS
Con le policy basate su identità di IAM, è possibile specificare quali azioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le azioni sono consentite o rifiutate. Amazon EKS supporta specifiche operazioni, risorse e chiavi di condizione. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consultare Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente di IAM.
Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.
L'elemento Action di una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le azioni politiche in genere hanno lo stesso nome dell'operazione AWS API associata. Ci sono alcune eccezioni, ad esempio le azioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono denominate operazioni dipendenti.
Includere le operazioni in una policy per concedere le autorizzazioni per eseguire l'operazione associata.
Le operazioni delle policy in Amazon EKS utilizzano il seguente prefisso prima dell'operazione: eks:. Ad esempio, per concedere a qualcuno l'autorizzazione per ottenere le informazioni descrittive su un cluster Amazon EKS, includere l'operazione DescribeCluster nella policy. Le istruzioni della policy devono includere un elemento Action o NotAction.
Per specificare più operazioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
"Action": ["eks:action1", "eks:action2"]
È possibile specificare più azioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:
"Action": "eks:Describe*"
Per visualizzare un elenco di operazioni di Amazon EKS, consulta Operazioni definite da Amazon Elastic Kubernetes Service in Service Authorization Reference.
Risorse
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. Cioè, quale principale può eseguire operazioni su quali risorse, e in quali condizioni.
L'elemento JSON Resource della policy specifica l'oggetto o gli oggetti ai quali si applica l'azione. Le istruzioni devono includere un elemento Resource o un elemento NotResource. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Puoi eseguire questa operazione per azioni che supportano un tipo di risorsa specifico, note come autorizzazioni a livello di risorsa.
Per le azioni che non supportano le autorizzazioni a livello di risorsa, ad esempio le operazioni di elenco, utilizza un carattere jolly (*) per indicare che l'istruzione si applica a tutte le risorse.
"Resource": "*"
La risorsa del cluster Amazon EKS dispone del seguente ARN.
arn:aws:eks:region-code:account-id:cluster/cluster-name
Per ulteriori informazioni sul formato degli ARN, consulta Amazon resource names (ARN) e AWS service namespace.
Ad esempio, per specificare il cluster con il nome my-cluster
"Resource": "arn:aws:eks:region-code:111122223333:cluster/my-cluster"
Per specificare tutti i cluster che appartengono a un account specifico e Regione AWS, usa il carattere jolly (*):
"Resource": "arn:aws:eks:region-code:111122223333:cluster/*"
Alcune operazioni Amazon EKS, ad esempio quelle utili per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (*).
"Resource": "*"
Per visualizzare un elenco di tipi di risorse di Amazon EKS, consultare Risorse definite da Amazon Elastic Kubernetes Service in Service Authorization Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consultare Operazioni definite da Amazon Elastic Kubernetes Service.
Chiavi di condizione
Amazon EKS definisce il proprio set di chiavi di condizione e supporta anche l'uso di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta AWS Global Condition Context Keys nella IAM User Guide.
Puoi impostare le chiavi di condizione quando si associa un provider OpenID Connect al cluster. Per ulteriori informazioni, consulta Policy IAM di esempio.
Tutte le operazioni Amazon EC2 supportano le chiavi di condizione aws:RequestedRegion e ec2:Region. Per ulteriori informazioni, consulta Esempio: limitazione dell'accesso a uno specifico Regione AWS.
Per un elenco di chiavi di condizione di Amazon EKS, consultare Condizioni per Amazon Elastic Kubernetes Service in Service Authorization Reference. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consultare Operazioni definite da Amazon Elastic Kubernetes Service.
Esempi
Per visualizzare esempi di policy basate su identità Amazon EKS, consultare Esempi di policy basate su identità Amazon EKS.
Quando si crea un cluster Amazon EKS, il principale IAM che crea il cluster riceve automaticamente le autorizzazioni system:masters nella configurazione del controllo degli accessi basato sul ruolo (RBAC) nel piano di controllo (control-plane) di Amazon EKS. Questo principale IAM non viene visualizzato in una configurazione visibile qualsiasi, quindi assicurati di tenere traccia di quale principale IAM ha originariamente creato il cluster. Per concedere a ulteriori principali IAM la capacità di interagire con il cluster, devi modificare aws-auth ConfigMap all'interno di Kubernetes e creare un Kubernetes rolebinding o clusterrolebinding con il nome di un group specificato in aws-auth ConfigMap.
Per ulteriori informazioni sull'utilizzo di ConfigMap, vedereConcedi l'accesso alle Kubernetes API .
Policy basate sulle risorse Amazon EKS
Amazon EKS non supporta policy basate su risorse.
Autorizzazione basata su tag Amazon EKS
È possibile allegare i tag alle risorse Amazon EKS o inoltrarli in una richiesta ad Amazon EKS. Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys. Per ulteriori informazioni sull'assegnazione di tag delle risorse di Amazon EKS, consultare Assegnazione di tag alle risorse Amazon EKS. Per ulteriori informazioni sulle operazioni in cui è possibile utilizzare i tag nelle chiavi di condizione, consulta Operazioni definite da Amazon EKSnel manuale Service Authorization Reference.
Ruoli IAM di Amazon EKS
Un ruolo IAM è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
Utilizzo di credenziali temporanee con Amazon EKS
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. Ottieni credenziali di sicurezza temporanee chiamando operazioni AWS STS API come AssumeRoleo. GetFederationToken
Amazon EKS supporta l'uso di credenziali temporanee.
Ruoli collegati ai servizi
I ruoli collegati ai AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore può visualizzare, ma non può modificare le autorizzazioni dei ruoli collegati ai servizi.
Amazon EKS supporta i ruoli collegati ai servizi. Per maggiori dettagli su come creare e gestire i ruoli collegati ai servizi Amazon EKS, consultare Utilizzo di ruoli collegati ai servizi per Amazon EKS.
Ruoli dei servizi
Questa caratteristica consente a un servizio di assumere un ruolo di servizio per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
Amazon EKS supporta i ruoli del servizio. Per ulteriori informazioni, consulta Ruolo IAM del cluster Amazon EKS e Ruolo IAM del nodo Amazon EKS.
Scelta di un ruolo IAM in Amazon EKS
Quando crei una risorsa cluster in Amazon EKS, devi scegliere un ruolo per consentire ad Amazon EKS di accedere a diverse altre AWS risorse per tuo conto. Se hai già creato un ruolo di servizio in precedenza, Amazon EKS ti fornisce un elenco di ruoli da scegliere. È importante scegliere un ruolo con policy gestite da Amazon EKS allegate. Per ulteriori informazioni, consultare Verifica della presenza di un ruolo del cluster esistente e Verifica della presenza di un ruolo di nodo esistente.
