IAM 許可界限 - Eksctl 使用者指南
設定 VPC CNI 許可界限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM 許可界限

許可界限是進階 AWS IAM 功能,其中已設定身分型政策可授予 IAM 實體的最大許可;其中這些實體是使用者或角色。為實體設定許可界限時,該實體只能執行其身分型政策及其許可界限允許的動作。

您可以提供許可界限,以便在該界限內建立 eksctl 建立的所有身分型實體。此範例示範如何將許可界限提供給 eksctl 建立的各種身分型實體:

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
警告

無法同時提供角色 ARN 和許可界限。

設定 VPC CNI 許可界限

請注意,建立啟用 OIDC 的 eksctl 叢集時,基於安全考量, 會自動iamserviceaccount為 VPC-CNI 建立 。如果您想要新增許可界限給它,則必須iamserviceaccount在組態檔案中手動指定 :

iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"