Actualización de los controles de organización para el modo automático de EKS - Amazon EKS
Ejemplo de SCP para bloquear todas las AMI excepto las AMI del modo automático de EKSCuentas de AMI de modo automático de EKSAsociación de direcciones IP públicas

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Actualización de los controles de organización para el modo automático de EKS

Algunos controles de organización pueden impedir que el modo automático de EKS funcione correctamente. Si es así, debe actualizar estos controles para permitir que el modo automático de EKS disponga de los permisos necesarios para administarr las instancias de EC2 en su nombre.

El modo automático de EKS utiliza un rol de servicio para ejecutar las instancias de EC2 que respaldan los nodos del modo automático de EKS. Un rol de servicio es un rol de IAM que se crea en su cuenta y que un servicio asume para realizar acciones en su nombre. Las políticas de control de servicio (SCP) siempre se aplican a las acciones realizadas con los roles de servicio. Esto permite que una SCP inhiba las operaciones del modo automático. Lo más común es cuando se utiliza una SCP para restringir las imágenes de máquina de Amazon (AMI) que se pueden ejecutar. Para permitir el funcionamiento del modo automático de EKS, modifique la SCP para permitir la ejecución de las AMI desde las cuentas del modo automático de EKS.

También puede utilizar la característica de AMI permitidas por EC2 para limitar la visibilidad de las AMI en otras cuentas. Si utiliza esta característica, debe ampliar los criterios de imagen para incluir también las cuentas de AMI del modo automático de EKS en las regiones de interés.

Ejemplo de SCP para bloquear todas las AMI excepto las AMI del modo automático de EKS

La siguiente SCP impide realizar llamadas a ec2:RunInstances a menos que la AMI pertenezca a la cuenta de AMI del modo automático de EKS para us-west-2 o us-east-1.

nota

Es importante no utilizar la clave de contexto ec2:Owner. Amazon es propietario de las cuentas AMI del modo automático de EKS y el valor de esta clave siempre será amazon. Crear una SCP que permita ejecutar AMI si ec2:Owner es amazon permitirá ejecutar cualquier AMI propiedad de Amazon, no solo las del modo automático de EKS.*

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}

Cuentas de AMI de modo automático de EKS

Cuentas de AWS que varían según la región alojan las AMI públicas del modo automático de EKS.

Región de AWS

Cuenta

af-south-1

471112993317

ap-east-1

590183728416

ap-northeast-1

851725346105

ap-northeast-2

992382805010

ap-northeast-3

891377407544

ap-south-1

975049899075

ap-south-2

590183737426

ap-southeast-1

339712723301

ap-southeast-2

58264376476

ap-southeast-3

471112941769

ap-southeast-4

590183863144

ap-southeast-5

654654202513

ap-southeast-7

533267217478

ca-central-1

992382439851

ca-west-1

767397959864

eu-central-1

891376953411

eu-central-2

381492036002

eu-north-1

339712696471

eu-south-1

975049955519

eu-south-2

471112620929

eu-west-1

381492008532

eu-west-2

590184142468

eu-west-3

891376969258

il-central-1

590183797093

me-central-1

637423494195

me-south-1

905418070398

mx-central-1

211125506622

sa-east-1

339712709251

us-east-1

992382739861

us-east-2

975050179949

us-west-1

975050035094

us-west-2

767397842682

Asociación de direcciones IP públicas

Cuando se llama a ec2:RunInstances, el campo AssociatePublicIpAddress para el lanzamiento de una instancia se determina automáticamente en función del tipo de subred en la que se lanza la instancia. Se puede usar una SCP para exigir que este valor se establezca explícitamente en falso, independientemente del tipo de subred en la que se lance. En este caso, el campo spec.advancedNetworking.associatePublicIPAddress de NodeClass también se puede establecer en falso para cumplir con los requisitos de la SCP.

  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }