Le tabelle in questa pagina elencano tutte le autorizzazioni utilizzate nella creazione dei ruoli AWS IAM predefiniti. Per creare questi criteri con autorizzazioni predefinite, consulta Creare ruoli AWS IAM.
- Ruolo di Agente di servizio API Multi-Cloud GKE
- L'API GKE Multi-Cloud utilizza questo ruolo AWS IAM per gestire le risorse utilizzando le API AWS. Questo ruolo è utilizzato da un agente di servizio.
- Ruolo AWS IAM piano di controllo
- Il piano di controllo del cluster utilizza questo ruolo per controllare i pool di nodi.
- Ruolo AWS IAM per il pool di nodi
- Il piano di controllo utilizza questo ruolo per creare le VM del pool di nodi.
A seconda dei requisiti della tua organizzazione, puoi scegliere di creare criteri AWS IAM personalizzati per GKE su AWS per gestire i tuoi cluster. Questi criteri sostituiranno le versioni predefinite. Puoi applicare questi criteri ai ruoli AWS IAM e fornirli quando crei un cluster.
Per ulteriori informazioni sullo scopo di ciascun ruolo, consulta Ruoli IAM AWS per GKE su AWS.
Per creare questi criteri, scegli il livello al quale vuoi limitare le risorse. Ad esempio, puoi limitare un criterio a un particolare VPC AWS utilizzando il Amazon Resource Name (ARN) del VPC. Per ulteriori informazioni, consulta Controllo dell'accesso alle risorse AWS tramite i criteri.
Criteri IAM per gli agenti di servizio GKE Multi-Cloud
| Tipo di risorsa | ARN | Autorizzazione richiesta | Finalità | Riferimento |
|---|---|---|---|---|
| Gruppo di sicurezza | arn:aws:ec2:*:*:security-group/sg-* |
ec2:DescribeSecurityGroups (Crea, Aggiorna, Elimina)ec2:CreateSecurityGroup (Crea)ec2:CreateTags (Crea)ec2:RevokeSecurityGroupEgress (Crea)ec2:DeleteSecurityGroup (Elimina) |
Gruppo di sicurezza del piano di controllo | |
| Gruppo di sicurezza | Gruppo di sicurezza del pool di nodi | |||
| Regola del gruppo di sicurezza | arn:aws:ec2:*:*:security-group-rule/sgr-* |
ec2:AuthorizeSecurityGroupEgress (Crea)ec2:RevokeSecurityGroupEgress (Elimina)ec2:CreateTags (Crea) |
Regola del gruppo di sicurezza in uscita dal piano di controllo | |
| Regola del gruppo di sicurezza | ec2:AuthorizeSecurityGroupIngress (Crea)ec2:RevokeSecurityGroupIngress (Elimina)ec2:CreateTags (Crea) |
Regola del gruppo di sicurezza in entrata del piano di controllo | ||
| Regola del gruppo di sicurezza | ec2:AuthorizeSecurityGroupEgress (Crea)ec2:RevokeSecurityGroupEgress (Elimina)ec2:CreateTags (Crea) |
Regola del gruppo di sicurezza in uscita dal piano di controllo | ||
| Regola del gruppo di sicurezza | ec2:AuthorizeSecurityGroupIngress (Crea)ec2:RevokeSecurityGroupIngress (Elimina)ec2:CreateTags (Crea) |
Regola del gruppo di sicurezza in entrata del piano di controllo | ||
| Bilanciatore del carico di rete | arn:aws:elasticloadbalancing:*:*:loadbalancer/net/gke-* |
elasticloadbalancing:DescribeLoadBalancers (Crea, Elimina) elasticloadbalancing:CreateLoadBalancer (Crea)ec2:CreateSecurityGroup (Crea)ec2:DescribeAccountAttributes (Crea)ec2:DescribeInternetGateways (Crea)ec2:DescribeSecurityGroups (Crea)ec2:DescribeSubnets (Crea)ec2:DescribeVpcs (Crea)iam:CreateServiceLinkedRole (Crea)elasticloadbalancing:DeleteLoadBalancer (Elimina) |
Bilanciatore del carico api-server Kubernetes | Autorizzazioni dell'API Elastic Load Balancing |
| Gruppo target | arn:aws:elasticloadbalancing:*:*:targetgroup/gke-* |
elasticloadbalancing:DescribeTargetGroups (Crea, aggiorna, elimina)elasticloadbalancing:DescribeTargetHealth (Crea, aggiorna)elasticloadbalancing:CreateTargetGroup (Crea)elasticloadbalancing:ModifyTargetGroupAttributes (Crea)ec2:DescribeInternetGateways (Crea)ec2:DescribeVpcs (Crea)elasticloadbalancing:DeleteTargetGroup (Elimina) |
Gruppo di destinazione per https | Autorizzazioni dell'API Elastic Load Balancing |
| Gruppo target | Gruppo di destinazione per https per l'agente di connettività | |||
| Listener | arn:aws:elasticloadbalancing:*:*:listener/net/gke-* |
elasticloadbalancing:CreateListener (Crea)elasticloadbalancing:DeleteListener (Elimina)
elasticloadbalancing:DescribeListeners (Elimina)elasticloadbalancing:DeleteListener (Elimina) |
Listener per https | |
| Listener | Listener per https per l'agente di connettività | |||
| Volume | arn:aws:ec2:*:*:volume/vol-* |
ec2:CreateVolume (Crea)ec2:CreateTags (Crea)ec2:DeleteVolume (Elimina) |
volumi etcd | |
| Interfaccia di rete | arn:aws:ec2:*:*:network-interface/eni-* |
ec2:DescribeNetworkInterfaces Aggiornaec2:CreateNetworkInterface (Crea)ec2:CreateTags (Crea)ec2:ModifyNetworkInterfaceAttribute (Aggiorna)ec2:DeleteNetworkInterface (Elimina) |
NIC etcd | |
| Avvia modello | arn:aws:ec2:*:*:launch-template/lt-* |
ec2:CreateLaunchTemplate (Crea, Aggiorna)ec2:CreateTags (Crea, aggiorna)ec2:DeleteLaunchTemplate (Elimina) |
Modello di avvio per le istanze del piano di controllo | |
| Avvia modello | Avvia modello per istanze del pool di nodi | |||
| Gruppo di scalabilità automatica | arn:aws:autoscaling:*:*:autoScalingGroup:*: |
autoscaling:DescribeAutoScalingGroups (Crea, Aggiorna, Elimina)autoscaling:CreateAutoScalingGroup (Crea)autoscaling:CreateOrUpdateTags (Aggiorna)autoscaling:UpdateAutoScalingGroup (Aggiorna, Elimina)autoscaling:TerminateInstanceInAutoScalingGroup (Aggiorna)autoscaling:DeleteTags Aggiorna, (Elimina)autoscaling:DeleteAutoScalingGroup (Elimina)iam:CreateServiceLinkedRole (Crea)ec2:RunInstances (Crea)iam:PassRole (Crea) |
gruppi con scalabilità automatica per le istanze del piano di controllo | Autorizzazioni API richieste per la scalabilità automatica di Amazon EC2 |
| Gruppo di scalabilità automatica | arn:aws:autoscaling:*:*:autoScalingGroup:*: |
gruppi con scalabilità automatica per le istanze del pool di nodi | Autorizzazioni necessarie per creare un ruolo collegato al servizio | |
| Coppie di chiavi EC2 | ec2:DescribeKeyPairs (Crea) |
Assicurati che esista la coppia di chiavi EC2 utilizzata per l'accesso alle macchine del cluster. | ||
| Subnet | ec2:DescribeSubnets (Crea) |
Accesso a subnet aggiuntive nel tuo VPC | ||
| VPC | ec2:DescribeVpcs (Crea) |
Informazioni sul tuo VPC AWS | ||
| Output console EC2 | ec2:GetConsoleOutput (Crea, Aggiorna) |
Verifica la presenza di errori nei log della console | ||
| Chiave KMS | For more information on KMS key policies for GKE on AWS
Creating KMS keys with specific permissions
|
Criterio IAM per il ruolo del piano di controllo
| Finalità | Autorizzazione richiesta | Riferimento |
|---|---|---|
| gestore della scalabilità automatica dei cluster | autoscaling:DescribeAutoScalingGroups (Crea, aggiorna)autoscaling:DescribeAutoScalingInstances (Crea, aggiorna)autoscaling:DescribeLaunchConfigurations (Crea, aggiorna)autoscaling:DescribeTags (Crea, aggiorna)ec2:DescribeInstanceTypes (Crea, aggiorna)ec2:DescribeLaunchTemplateVersions (Crea, aggiorna)autoscaling:SetDesiredCapacityautoscaling:TerminateInstanceInAutoScalingGroup |
https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md |
| cloud-provider-aw | autoscaling:DescribeAutoScalingGroupsautoscaling:DescribeLaunchConfigurationsautoscaling:DescribeTags (Crea)ec2:DescribeInstances (Crea)ec2:DescribeRegionsec2:DescribeRouteTablesec2:DescribeSecurityGroupsec2:DescribeSubnetsec2:DescribeVolumesec2:CreateSecurityGroupec2:CreateTagsec2:CreateVolumeec2:ModifyInstanceAttributeec2:ModifyVolumeec2:AttachVolume (Crea)ec2:AuthorizeSecurityGroupIngressec2:CreateRouteec2:DeleteRoute/ec2:DeleteRoute {/} { /} { /} { /} ec2:DeleteSecurityGroupec2:DeleteVolumeec2:DetachVolumeec2:RevokeSecurityGroupIngressec2:DescribeVpcselasticloadbalancing:AddTagselasticloadbalancing:AddTagselasticloadbalancing:AttachLoadBalancerToSubnetselasticloadbalancing:ApplySecurityGroupsToLoadBalancerelasticloadbalancing:CreateLoadBalancerelasticloadbalancing:CreateLoadBalancerPolicyelasticloadbalancing:CreateLoadBalancerListenerselasticloadbalancing:ConfigureHealthCheckelasticloadbalancing:DeleteLoadBalancerelasticloadbalancing:DeleteLoadBalancerListenerselasticloadbalancing:DescribeLoadBalancerselasticloadbalancing:DescribeLoadBalancerAttributeselasticloadbalancing:DetachLoadBalancerFromSubnetselasticloadbalancing:DeregisterInstancesFromLoadBalancerelasticloadbalancing:ModifyLoadBalancerAttributeselasticloadbalancing:RegisterInstancesWithLoadBalancerelasticloadbalancing:SetLoadBalancerPoliciesForBackendServerelasticloadbalancing:CreateListenerelasticloadbalancing:CreateTargetGroupelasticloadbalancing:DeleteListenerelasticloadbalancing:DeleteTargetGroupelasticloadbalancing:DescribeListenerselasticloadbalancing:DescribeLoadBalancerPolicieselasticloadbalancing:DescribeTargetGroupselasticloadbalancing:DescribeTargetHealthelasticloadbalancing:ModifyListenerelasticloadbalancing:ModifyTargetGroupelasticloadbalancing:RegisterTargetselasticloadbalancing:DeregisterTargetselasticloadbalancing:SetLoadBalancerPoliciesOfListeneriam:CreateServiceLinkedRolekms:DescribeKey |
https://github.com/kubernetes/cloud-provider-aws/blob/master/docs/prerequisites.md |
| crea bilanciatori del carico | elasticloadbalancing:CreateLoadBalancerec2:DescribeAccountAttributesec2:DescribeInternetGatewaysec2:DescribeSecurityGroupsec2:DescribeSubnetsec2:DescribeVpcs |
https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html |
| aws-ebs-csi-driver | ec2:DescribeVolumesModifications
ec2:DescribeavailabilityZones |
https://github.com/kubernetes-sigs/aws-ebs-csi-driver/tree/master/docs#set-up-driver-permission |
| gke-aws-controller-manager | ec2:DescribeDhcpOptionsec2:DescribeInstancesec2:DescribeVpcs |
|
elasticloadbalancing:ModifyTargetGroupAttributes |
||
ec2:DescribeSnapshotsec2:CreateSnapshotec2:DeleteSnapshot |
Snapshotter CSI | Snapshot esterno di Kubernetes |
| Agente GKE su nodo AWS Collega NIC a etcd |
ec2:AttachNetworkInterface (Crea, Aggiorna) |
|
| Lettura della configurazione del proxy da Secret Manager | secretsmanager:GetSecretValue (Crea, Aggiorna) |
|
| Interagire con le chiavi KMS | kms:Encrypt (Crea, Aggiorna)kms:Decrypt (Crea, aggiorna)kms:CreateGrant (Crea, aggiorna) |
Criterio IAM per il ruolo del pool di nodi
| Finalità | Autorizzazione richiesta | Riferimento |
|---|---|---|
| Lettura della configurazione proxy da Secret Manager | secretsmanager:GetSecretValue (Crea, Aggiorna) |
|
| Chiave KMS per decriptare la crittografia della configurazione del pool di nodi | kms:Decrypt (Crea, Aggiorna) |
Crea una chiave KMS di AWS |