View a markdown version of this page

Organisationssteuerung für EKS Auto Mode aktualisieren - Amazon EKS
Beispiel-SCP zum Blockieren aller AMIs mit Ausnahme von AMIs in EKS Auto ModeAMI-Konten in EKS Auto ModeÖffentliche IP-Adresse zuweisen

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Organisationssteuerung für EKS Auto Mode aktualisieren

Einige Organisationssteuerungen können die korrekte Funktion von EKS Auto Mode beeinträchtigen. In diesem Fall müssen Sie diese Steuerungen aktualisieren, damit EKS Auto Mode über die erforderlichen Berechtigungen verfügt, um EC2-Instances in Ihrem Namen zu verwalten.

EKS Auto Mode verwendet eine Servicerolle zum Starten der EC2-Instances, welche die Knoten von EKS Auto Mode unterstützen. Eine Servicerolle ist eine IAM-Rolle, die in Ihrem Konto erstellt wird und die ein Service übernimmt, um in Ihrem Namen Aktionen auszuführen. Service-Kontrollrichtlinien (SCPs) gelten immer für Aktionen, die mit Servicerollen ausgeführt werden. Dadurch kann ein SCP die Vorgänge im Automatikmodus unterbinden. Am häufigsten wird eine SCP verwendet, um die Amazon Machine Images (AMIs) zu beschränken, die gestartet werden können. Damit EKS Auto Mode funktionieren kann, ändern Sie die SCP so, dass das Starten von AMIs aus Konten von EKS Auto Mode zulässig ist.

Sie können auch das Feature zulässige AMIs von EC2 verwenden, um die Sichtbarkeit von AMIs in anderen Konten einzuschränken. Wenn Sie dieses Feature verwenden, müssen Sie die Image-Kriterien erweitern, um auch die AMI-Konten in EKS Auto Mode in den relevanten Regionen einzubeziehen.

Beispiel-SCP zum Blockieren aller AMIs mit Ausnahme von AMIs in EKS Auto Mode

Die nachfolgende SCP verhindert den Aufruf von ec2:RunInstances, es sei denn, die AMI gehört zum AMI-Konto in EKS Auto Mode für us-west-2 oder us-east-1.

Anmerkung

Es ist wichtig, den Kontextschlüssel ec2:Owner nicht zu verwenden. Amazon ist Eigentümer der AMI-Konten in EKS Auto Mode, und der Wert für diesen Schlüssel ist stets amazon. Aufbau eines SCP, das das Starten von AMIs ermöglicht, wenn das ec2:Owner IS amazon das Starten aller Amazon-eigenen AMIs ermöglicht, nicht nur solcher für den EKS-Automatikmodus.

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}

AMI-Konten in EKS Auto Mode

AWS Konten, die je nach Region variieren, hosten öffentliche EKS-Automodus-AMIs.

AWS Region

Account

af-south-1

471112993317

ap-east-1

590183728416

ap-east-2

381492200852

ap-northeast-1

851725346105

ap-northeast-2

992382805010

ap-northeast-3

891377407544

ap-south-1

975049899075

ap-south-2

590183737426

ap-southeast-1

339712723301

ap-southeast-2

058264376476

ap-southeast-3

471112941769

ap-southeast-4

590183863144

ap-southeast-5

654654202513

ap-southeast-6

905418310314

ap-southeast-7

533267217478

ca-central-1

992382439851

ca-west-1

767397959864

eu-central-1

891376953411

eu-central-2

381492036002

eu-north-1

339712696471

eu-south-1

975049955519

eu-south-2

471112620929

eu-west-1

381492008532

eu-west-2

590184142468

eu-west-3

891376969258

il-central-1

590183797093

me-central-1

637423494195

me-south-1

905418070398

mx-central-1

211125506622

sa-east-1

339712709251

us-east-1

992382739861

us-east-2

975050179949

us-west-1

975050035094

us-west-2

767397842682

us-gov-east-1

446077414359

us-gov-west-1

446098668741

Öffentliche IP-Adresse zuweisen

Wenn ec2:RunInstances aufgerufen wird, wird das AssociatePublicIpAddress-Feld für einen Instance-Start automatisch durch den Typ des Subnetzes bestimmt, in dem die Instance gestartet wird. Ein SCP kann verwendet werden, um sicherzustellen, dass dieser Wert unabhängig vom Typ des Subnetzes, in dem der Start erfolgt, explizit auf „false“ gesetzt wird. In diesem Fall spec.advancedNetworking.associatePublicIPAddress kann das NodeClass Feld auch auf false gesetzt werden, um die Anforderungen des SCP zu erfüllen.

  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }