Perbarui kontrol organisasi untuk Mode Otomatis EKS - Amazon EKS
Contoh SCP untuk memblokir semua AMIs kecuali untuk Mode Otomatis EKS AMIsAkun AMI Mode Otomatis EKSAlamat IP Publik Asosiasi

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perbarui kontrol organisasi untuk Mode Otomatis EKS

Beberapa kontrol organisasi dapat mencegah Mode Otomatis EKS berfungsi dengan benar. Jika demikian, Anda harus memperbarui kontrol ini untuk memungkinkan Mode Otomatis EKS memiliki izin yang diperlukan untuk mengelola EC2 instance atas nama Anda.

Mode Otomatis EKS menggunakan peran layanan untuk meluncurkan EC2 Instans yang mendukung Node Mode Otomatis EKS. Peran layanan adalah peran IAM yang dibuat di akun Anda yang diasumsikan oleh layanan untuk melakukan tindakan atas nama Anda. Kebijakan Kontrol Layanan (SCPs) selalu berlaku untuk tindakan yang dilakukan dengan peran layanan. Hal ini memungkinkan SCP untuk menghambat operasi Mode Otomatis. Kejadian yang paling umum adalah ketika SCP digunakan untuk membatasi Amazon Machine Images (AMIs) yang dapat diluncurkan. Untuk memungkinkan Mode Otomatis EKS berfungsi, ubah SCP untuk mengizinkan peluncuran AMIs dari akun Mode Otomatis EKS.

Anda juga dapat menggunakan AMIs fitur EC2 Diizinkan untuk membatasi visibilitas AMIs di akun lain. Jika Anda menggunakan fitur ini, Anda harus memperluas kriteria gambar untuk juga menyertakan akun AMI Mode Otomatis EKS di wilayah yang diminati.

Contoh SCP untuk memblokir semua AMIs kecuali untuk Mode Otomatis EKS AMIs

SCP di bawah ini mencegah panggilan ec2:RunInstances kecuali AMI milik akun AMI Mode Otomatis EKS untuk us-west-2 atau us-east-1.

catatan

Penting untuk tidak menggunakan kunci ec2:Owner konteks. Amazon memiliki akun AMI Mode Otomatis EKS dan nilai untuk kunci ini akan amazon selalu ada. Membangun SCP yang memungkinkan peluncuran AMIs jika ec2:Owner is amazon akan memungkinkan peluncuran AMI milik Amazon, bukan hanya untuk Mode Otomatis EKS. *

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}

Akun AMI Mode Otomatis EKS

AWS akun yang bervariasi menurut wilayah host EKS Auto Mode publik AMIs.

AWS Wilayah

Akun

af-south-1

471112993317

ap-east-1

590183728416

ap-northeast-1

851725346105

ap-northeast-2

992382805010

ap-northeast-3

891377407544

ap-south-1

975049899075

ap-south-2

590183737426

ap-southeast-1

339712723301

ap-southeast-2

58264376476

ap-southeast-3

471112941769

ap-southeast-4

590183863144

ap-southeast-5

654654202513

ap-tenggara 7

533267217478

ca-central-1

992382439851

ca-west-1

767397959864

eu-central-1

891376953411

eu-central-2

381492036002

eu-north-1

339712696471

eu-south-1

975049955519

eu-south-2

471112620929

eu-west-1

381492008532

eu-west-2

590184142468

eu-west-3

891376969258

il-central-1

590183797093

me-central-1

637423494195

me-south-1

905418070398

mx-pusat-1

211125506622

sa-east-1

339712709251

us-east-1

992382739861

us-east-2

975050179949

us-west-1

975050035094

us-west-2

767397842682

Alamat IP Publik Asosiasi

Kapan ec2:RunInstances dipanggil AssociatePublicIpAddress bidang untuk peluncuran instance ditentukan secara otomatis oleh jenis subnet tempat instance diluncurkan. SCP dapat digunakan untuk menegakkan bahwa nilai ini secara eksplisit disetel ke false, terlepas dari jenis subnet yang diluncurkan. Dalam hal ini NodeClass bidang juga spec.advancedNetworking.associatePublicIPAddress dapat diatur ke false untuk memenuhi persyaratan SCP.

  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }