Atualizar os controles da organização para o Modo Automático do EKS - Amazon EKS
Exemplo de SCP para bloquear todas as AMIs, exceto as AMIs do Modo Automático do EKSContas de AMIs do Modo Automático do EKSAssociação de um endereço IP público

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Atualizar os controles da organização para o Modo Automático do EKS

Alguns controles organizacionais podem impedir que o Modo Automático do EKS funcione corretamente. Nesse caso, você deve atualizar esses controles para permitir que o Modo Automático do EKS tenha as permissões necessárias para gerenciar instâncias do EC2 em seu nome.

O Modo Automático do EKS usa um perfil de serviço para inicializar as instâncias do EC2 que dão suporte aos nós do Modo Automático do EKS. Um perfil de serviço é um perfil do IAM criado em sua conta que um serviço assume para realizar ações em seu nome na sua conta. As políticas de controle de serviço (SCPs) sempre se aplicam às ações realizadas com perfis de serviço. Isso permite que uma SCP iniba as operações do Modo Automático. A ocorrência mais comum é quando uma SCP é usada para restringir as imagens de máquina da Amazon (AMIs) que podem ser executadas. Para permitir que o Modo Automático do EKS funcione, modifique a SCP para permitir a execução de AMIs de contas do Modo Automático do EKS.

Você também pode usar o recurso de AMIs permitidas pelo EC2 para limitar a visibilidade das AMIs em outras contas. Se usar esse recurso, você deverá expandir os critérios de imagens para incluir também as contas das AMIs do Modo Automático do EKS nas regiões de interesse.

Exemplo de SCP para bloquear todas as AMIs, exceto as AMIs do Modo Automático do EKS

A SCP abaixo impede chamadas a ec2:RunInstances, a menos que a AMI pertença à conta da AMI do Modo Automático do EKS para us-west-2 ou us-east-1.

nota

É importante não usar a chave de contexto ec2:Owner. A Amazon possui as contas das AMIs do Modo Automático do EKS, e o valor dessa chave sempre será amazon. A criação de uma SCP que permita a execução de AMIs, se o ec2:Owner for amazon, permitirá a execução de qualquer AMI de propriedade da Amazon, não apenas as do Modo Automático do EKS.*

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}

Contas de AMIs do Modo Automático do EKS

Contas da AWS que variam de acordo com a região hospedam as AMIs públicas do Modo Automático do EKS.

Região da AWS

Conta

af-south-1

471112993317

ap-east-1

590183728416

ap-northeast-1

851725346105

ap-northeast-2

992382805010

ap-northeast-3

891377407544

ap-south-1

975049899075

ap-south-2

590183737426

ap-southeast-1

339712723301

ap-southeast-2

58264376476

ap-southeast-3

471112941769

ap-southeast-4

590183863144

ap-southeast-5

654654202513

ap-southeast-7

533267217478

ca-central-1

992382439851

ca-west-1

767397959864

eu-central-1

891376953411

eu-central-2

381492036002

eu-north-1

339712696471

eu-south-1

975049955519

eu-south-2

471112620929

eu-west-1

381492008532

eu-west-2

590184142468

eu-west-3

891376969258

il-central-1

590183797093

me-central-1

637423494195

me-south-1

905418070398

mx-central-1

211125506622

sa-east-1

339712709251

us-east-1

992382739861

us-east-2

975050179949

us-west-1

975050035094

us-west-2

767397842682

Associação de um endereço IP público

Quando ec2:RunInstances é chamado, o campo AssociatePublicIpAddress para o lançamento de uma instância é determinado automaticamente pelo tipo de sub-rede na qual a instância está sendo lançada. Um SCP pode ser usado para garantir que esse valor seja explicitamente definido como falso, independentemente do tipo de sub-rede na qual está sendo iniciada. Nesse caso, o campo spec.advancedNetworking.associatePublicIPAddress do NodeClass também pode ser definido como falso para satisfazer os requisitos do SCP.

  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }