Aiutaci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli IAM per gli account di servizio
Le applicazioni nei contenitori di un Pod possono utilizzare un AWS SDK o la AWS CLI per effettuare richieste API AWS ai servizi AWS utilizzando le autorizzazioni Identity and Access Management (IAM). Le applicazioni devono firmare le proprie richieste AWS API con credenziali. AWS I ruoli IAM per gli account di servizio (IRSA) offrono la possibilità di gestire le credenziali per le applicazioni, in modo simile al modo in cui i profili di EC2 istanza Amazon forniscono le credenziali alle istanze Amazon. EC2 Invece di creare e distribuire AWS le tue credenziali ai contenitori o utilizzare il ruolo dell' EC2 istanza Amazon, associ un ruolo IAM a un account di servizio Kubernetes e configuri i tuoi Pods per utilizzare l'account di servizio. Non puoi utilizzare i ruoli IAM per gli account di servizio con cluster locali per Amazon EKS on AWS Outposts.
La caratteristica dei ruoli IAM per gli account di servizio offre i seguenti vantaggi:
-
Privilegio minimo: puoi assegnare le autorizzazioni IAM a un account di servizio e solo i Pod che utilizzano quell'account di servizio hanno accesso a tali autorizzazioni. Questa caratteristica elimina anche la necessità di soluzioni di terze parti, ad esempio
kiam
okube2iam
. -
Isolamento delle credenziali: quando l'accesso all'Amazon EC2 Instance Metadata Service (IMDS) è limitato, i contenitori di un Pod possono recuperare solo le credenziali per il ruolo IAM associato all'account di servizio utilizzato dal contenitore. Un contenitore non ha mai accesso alle credenziali utilizzate da altri contenitori in altri Pod. Se IMDS non è soggetto a restrizioni, i contenitori del Pod hanno accesso anche al ruolo IAM del nodo Amazon EKS e i contenitori potrebbero essere in grado di accedere alle credenziali dei ruoli IAM di altri Pod sullo stesso nodo. Per ulteriori informazioni, consulta Limitazione dell'accesso al profilo dell'istanza assegnato al nodo worker.
Nota
I pod configurati con hostNetwork: true
avranno sempre accesso IMDS, ma la AWS SDKs CLI e la CLI utilizzeranno le credenziali IRSA quando abilitate.
-
Verificabilità: la registrazione degli accessi e degli eventi è disponibile per garantire un controllo retrospettivo. AWS CloudTrail
Importante
I contenitori non rappresentano un limite di sicurezza e l'uso dei ruoli IAM per gli account di servizio non modifica questa situazione. I pod assegnati allo stesso nodo condivideranno un kernel e potenzialmente altre risorse a seconda della configurazione del Pod. Sebbene i Pod in esecuzione su nodi separati siano isolati a livello di elaborazione, esistono applicazioni di nodo che dispongono di autorizzazioni aggiuntive nell'API Kubernetes oltre all'ambito di una singola istanza. Alcuni esempi sono i kubelet
driver di archiviazione CSI kube-proxy
o le tue applicazioni Kubernetes.
Abilita i ruoli IAM per gli account di servizio completando le seguenti procedure:
-
Crea un provider IAM OIDC per il tuo cluster: completa questa procedura solo una volta per ogni cluster.
Nota
Se hai abilitato l'endpoint EKS VPC, non è possibile accedere all'endpoint del servizio EKS OIDC dall'interno di quel VPC. Di conseguenza, le operazioni come la creazione di un provider OIDC con
eksctl
nel VPC non funzioneranno e comporteranno un timeout durante il tentativo di richiesta dihttps://oidc.eks
. Segue un messaggio di errore di esempio:. region
.amazonaws.com.rproxy.govskope.caserver cant find oidc.eks.region.amazonaws.com: NXDOMAIN
Per completare questo passaggio, puoi eseguire il comando all'esterno del VPC, ad esempio in AWS CloudShell o su un computer connesso a Internet. In alternativa, puoi creare un resolver condizionale con orizzonte diviso nel VPC, come Route 53 Resolver, per utilizzare un resolver diverso per l'URL dell'emittente OIDC e non utilizzare il DNS VPC per questo. Per un esempio di inoltro condizionale in CoredNS, consulta la richiesta di funzionalità Amazon EKS su.
GitHub -
Assegna ruoli IAM agli account di servizio Kubernetes: completa questa procedura per ogni set univoco di autorizzazioni che desideri assegnare a un'applicazione.
-
Configura i Pod per utilizzare un account di servizio Kubernetes: completa questa procedura per ogni Pod che deve accedere ai servizi. AWS
-
Usa IRSA con l' AWS SDK: conferma che il carico di lavoro utilizzi un AWS SDK di una versione supportata e che il carico di lavoro utilizzi la catena di credenziali predefinita.
Informazioni di base su IAM, Kubernetes e OpenID Connect (OIDC)
Nel 2014, AWS Identity and Access Management ha aggiunto il supporto per le identità federate utilizzando OpenID Connect (OIDC). Questa funzionalità consente di autenticare le chiamate AWS API con i provider di identità supportati e di ricevere un token web JSON (JWT) OIDC valido. È possibile passare questo token all'operazione dell'AssumeRoleWithWebIdentity
API AWS STS e ricevere credenziali di ruolo temporaneo IAM. Puoi utilizzare queste credenziali per interagire con qualsiasi AWS servizio, inclusi Amazon S3 e DynamoDB.
Ogni token JWT è firmato da una coppia di chiavi di firma. Le chiavi vengono fornite dal provider OIDC gestito da Amazon EKS e la chiave privata ruota ogni 7 giorni. Amazon EKS conserva le chiavi pubbliche fino alla loro scadenza. Se connetti client OIDC esterni, tieni presente che devi aggiornare le chiavi di firma prima della scadenza della chiave pubblica. Scopri come recuperare le chiavi di firma per convalidare i token OIDC.
Kubernetes utilizza da tempo gli account di servizio come sistema di identità interno. I pod possono eseguire l'autenticazione con il server API Kubernetes utilizzando un token con montaggio automatico (che è un token JWT non OIDC) che solo il server API Kubernetes può convalidare. Questi token di account di servizio legacy non scadono e la rotazione della chiave di firma è un processo difficile. Nella versione Kubernetes1.12
, è stato aggiunto il supporto per una nuova funzionalità. ProjectedServiceAccountToken
Questa funzionalità è un token web JSON OIDC che contiene anche l'identità dell'account del servizio e supporta un pubblico configurabile.
Amazon EKS ospita un endpoint di rilevamento OIDC pubblico per ogni cluster che contiene le chiavi di firma per i token web ProjectedServiceAccountToken
JSON in modo che i sistemi esterni, come IAM, possano convalidare e accettare i token OIDC emessi da Kubernetes.