View a markdown version of this page

Aggiorna i controlli organizzativi per la modalità automatica di EKS - Amazon EKS
Ad esempio: SCP per bloccare tutte le AMI ad eccezione delle AMI della modalità automatica di EKSAccount AMI della modalità automatica di EKSAssociare un indirizzo IP pubblico

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiorna i controlli organizzativi per la modalità automatica di EKS

Alcuni controlli organizzativi possono impedire il corretto funzionamento della modalità automatica di EKS. In tal caso, devi aggiornare questi controlli per consentire alla modalità automatica di EKS di disporre delle autorizzazioni necessarie per gestire le istanze EC2 per conto dell’utente.

modalità automatica di EKS utilizza un ruolo di servizio per l’avvio delle istanze EC2 che supportano i nodi della modalità automatica di EKS. Un ruolo di servizio è un ruolo IAM creato nell’account che un servizio assume per eseguire operazioni nell’account. Le policy di controllo dei servizi (SCP) si applicano sempre alle operazioni eseguite con i ruoli di servizio. Ciò consente a una SCP di inibire le operazioni di Auto Mode. La circostanza più comune si verifica quando una SCP viene utilizzata per limitare le Amazon Machine Image (AMI) che possono essere avviate. Per consentire il funzionamento della modalità automatica di EKS, modifica la SCP per consentire l’avvio di AMI dagli account modalità automatica di EKS.

Puoi anche possibile utilizzare la funzionalità EC2 Allowed AMIs per limitare la visibilità delle AMI in altri account. Se utilizzi questa funzionalità, devi espandere i criteri dell’immagine per includere anche gli account AMI della modalità automatica di EKS nelle regioni di interesse.

Ad esempio: SCP per bloccare tutte le AMI ad eccezione delle AMI della modalità automatica di EKS

La SCP riportata di seguito impedisce di chiamare ec2:RunInstances a meno che l’AMI non appartenga all’account AMI della modalità automatica di EKS per us-west-2 o us-east-1.

Nota

È importante non usare la chiave di contesto ec2:Owner. Amazon possiede gli account AMI della modalità automatica di EKS e il valore di questa chiave sarà sempre amazon. La creazione di un SCP che consenta il lancio di AMI (se è) amazon consentirà il ec2:Owner lancio di qualsiasi AMI di proprietà di Amazon, non solo quelle per EKS Auto Mode.

{
  "Version":"2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}

Account AMI della modalità automatica di EKS

AWS gli account che variano in base alla regione ospitano le AMI pubbliche di EKS Auto Mode.

AWS Regione

Account

af-south-1

471112993317

ap-east-1

590183728416

ap-east-2

381492200852

ap-northeast-1

851725346105

ap-northeast-2

992382805010

ap-northeast-3

891377407544

ap-south-1

975049899075

ap-south-2

590183737426

ap-southeast-1

339712723301

ap-southeast-2

058264376476

ap-southeast-3

471112941769

ap-southeast-4

590183863144

ap-southeast-5

654654202513

ap-southeast-6

905418310314

ap-southeast-7

533267217478

ca-central-1

992382439851

ca-west-1

767397959864

eu-central-1

891376953411

eu-central-2

381492036002

eu-north-1

339712696471

eu-south-1

975049955519

eu-south-2

471112620929

eu-west-1

381492008532

eu-west-2

590184142468

eu-west-3

891376969258

il-central-1

590183797093

me-central-1

637423494195

me-south-1

905418070398

mx-central-1

211125506622

sa-east-1

339712709251

us-east-1

992382739861

us-east-2

975050179949

us-west-1

975050035094

us-west-2

767397842682

us-gov-east-1

446077414359

us-gov-west-1

446098668741

Associare un indirizzo IP pubblico

Quando viene chiamato ec2:RunInstances, il campo AssociatePublicIpAddress per l’avvio di un’istanza viene determinato automaticamente dal tipo di sottorete in cui viene avviata l’istanza. È possibile utilizzare un SCP per far sì che questo valore sia impostato esplicitamente su false, indipendentemente dal tipo di sottorete in cui viene avviato. In questo caso il NodeClass campo spec.advancedNetworking.associatePublicIPAddress può anche essere impostato su false per soddisfare i requisiti dell'SCP.

  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }