Limite de permissões do IAM

Um limite de permissões é um recurso avançado do AWS IAM no qual foram definidas as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM; onde essas entidades são usuários ou funções. Quando um limite de permissões é definido para uma entidade, essa entidade só pode realizar as ações permitidas por suas políticas baseadas em identidade e seus limites de permissões.

Você pode fornecer seu limite de permissões para que todas as entidades baseadas em identidade criadas pelo eksctl sejam criadas dentro desse limite. Este exemplo demonstra como um limite de permissões pode ser fornecido às várias entidades baseadas em identidade criadas pelo eksctl:

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

Atenção

Não é possível fornecer um ARN de função e um limite de permissões.

Definindo o limite de permissão da VPC CNI

Observe que quando você cria um cluster com o OIDC habilitado, o eksctl cria automaticamente um para o VPC-CNI iamserviceaccount por motivos de segurança. Se você quiser adicionar um limite de permissão a ele, você deve especificá-lo manualmente iamserviceaccount em seu arquivo de configuração:

iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"