本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM 許可界限
<a name="iam-permissions-boundary"></a>

[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)是進階 AWS IAM 功能，其中已設定身分型政策可授予 IAM 實體的最大許可；其中這些實體是使用者或角色。為實體設定許可界限時，該實體只能執行其身分型政策及其許可界限允許的動作。

您可以提供許可界限，以便在該界限內建立 eksctl 建立的所有身分型實體。此範例示範如何將許可界限提供給 eksctl 建立的各種身分型實體：

```
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
```

**警告**  
無法同時提供角色 ARN 和許可界限。

## 設定 VPC CNI 許可界限
<a name="_setting_the_vpc_cni_permission_boundary"></a>

請注意，建立啟用 OIDC 的 eksctl 叢集時，基於[安全考量](security.md)， 會自動`iamserviceaccount`為 VPC-CNI 建立 。如果您想要將許可界限新增至其中，則必須`iamserviceaccount`在組態檔案中手動指定 ：

```
iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
```