IAM アクセス許可の境界

アクセス許可の境界は、アイデンティティベースのポリシーが IAM エンティティに付与できるアクセス許可の上限が設定されている高度な AWS IAM 機能です。これらのエンティティはユーザーまたはロールです。エンティティのアクセス許可の境界が設定されている場合、そのエンティティは、アイデンティティベースのポリシーとアクセス許可の境界の両方で許可されているアクションのみを実行できます。

アクセス許可の境界を指定して、eksctl によって作成されたすべてのアイデンティティベースのエンティティがその境界内に作成されるようにできます。この例では、eksctl によって作成されたさまざまなアイデンティティベースのエンティティにアクセス許可の境界を提供する方法を示します。

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

警告

ロール ARN とアクセス許可の境界の両方を指定することはできません。

VPC CNI アクセス許可境界の設定

OIDC が有効な eksctl でクラスターを作成すると、セキュリティ上の理由から VPC-CNI iamserviceaccount用の が自動的に作成されます。アクセス許可の境界を追加する場合は、設定ファイルiamserviceaccountで を手動で指定する必要があります。

iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"