Mise à jour des contrôles d’organisation pour le mode automatique EKS - Amazon EKS
Exemple de SCP pour tout bloquer AMIs sauf le mode automatique EKS AMIsComptes AMI en mode automatique EKSAssociation d’une adresse IP publique

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mise à jour des contrôles d’organisation pour le mode automatique EKS

Certains contrôles organisationnels peuvent empêcher le mode automatique EKS de fonctionner correctement. Si tel est le cas, vous devez mettre à jour ces contrôles pour permettre au mode automatique d'EKS de disposer des autorisations nécessaires pour gérer les EC2 instances en votre nom.

Le mode automatique EKS utilise un rôle de service pour lancer les EC2 instances qui soutiennent les nœuds du mode automatique EKS. Un rôle de service est un rôle IAM créé dans votre compte, qu’un service peut assumer afin d’effectuer des actions en votre nom. Les politiques de contrôle des services (SCPs) s'appliquent toujours aux actions effectuées avec des rôles de service. Ainsi, une SCP peut bloquer certaines opérations du mode automatique EKS. L'occurrence la plus courante se produit lorsqu'un SCP est utilisé pour restreindre les Amazon Machine Images (AMIs) qui peuvent être lancées. Pour permettre au mode automatique EKS de fonctionner, modifiez le SCP afin de permettre le lancement à AMIs partir des comptes du mode automatique EKS.

Vous pouvez également utiliser la AMIs fonctionnalité EC2 Autorisé pour limiter la visibilité sur AMIs d'autres comptes. Si vous utilisez cette fonctionnalité, vous devez élargir les critères d’images afin d’inclure également les comptes d’AMI en mode automatique EKS dans les régions concernées.

Exemple de SCP pour tout bloquer AMIs sauf le mode automatique EKS AMIs

L’exemple ci-dessous empêche l’appel de ec2:RunInstances sauf si l’AMI appartient au compte d’AMI en mode automatique EKS pour us-west-2 ou us-east-1.

Note

Il est important de ne pas utiliser la clé de contexte ec2:Owner. Amazon est propriétaire des comptes AMI en mode automatique EKS et la valeur de cette clé sera toujours amazon. La construction d'un SCP qui permet le ec2:Owner lancement AMIs s'il permet de lancer n'importe quelle AMI appartenant à Amazon, et pas seulement celles destinées au mode automatique d'EKS. amazon *

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}

Comptes AMI en mode automatique EKS

AWS les comptes qui varient selon les régions hébergent le mode automatique EKS public AMIs.

AWS Région

Compte

af-south-1

471112993317

ap-east-1

590183728416

ap-northeast-1

851725346105

ap-northeast-2

992382805010

ap-northeast-3

891377407544

ap-south-1

975049899075

ap-south-2

590183737426

ap-southeast-1

339712723301

ap-southeast-2

58264376476

ap-southeast-3

471112941769

ap-southeast-4

590183863144

ap-southeast-5

654654202513

ap-southeast-7

533267217478

ca-central-1

992382439851

ca-west-1

767397959864

eu-central-1

891376953411

eu-central-2

381492036002

eu-north-1

339712696471

eu-south-1

975049955519

eu-south-2

471112620929

eu-west-1

381492008532

eu-west-2

590184142468

eu-west-3

891376969258

il-central-1

590183797093

me-central-1

637423494195

me-south-1

905418070398

mx-central-1

211125506622

sa-east-1

339712709251

us-east-1

992382739861

us-east-2

975050179949

us-west-1

975050035094

us-west-2

767397842682

Association d’une adresse IP publique

Lorsque l’appel ec2:RunInstances est effectué, la valeur du champ AssociatePublicIpAddress lors du lancement d’une instance est déterminée automatiquement en fonction du type de sous-réseau dans lequel l’instance est lancée. Une SCP peut être utilisée pour imposer que cette valeur soit explicitement définie sur « false », quel que soit le sous-réseau utilisé pour le lancement. Dans ce cas, le NodeClass champ spec.advancedNetworking.associatePublicIPAddress peut également être défini sur false pour satisfaire aux exigences du SCP.

  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }