In 2014, AWS Identity and Access Management a adaugat suport pentru identitati federate utilizand OpenID Connect (OIDC). Aceasta caracteristica va permite sa autentificati apelurile AWS API cu furnizorii de identitate acceptati si sa primiti un simbol web OIDC JSON (JWT) valid. Puteti trece acest simbol catre operatiunea API AWS STS AssumeRoleWithWebIdentity si sa primiti acreditari de rol temporare IAM. Puteti utiliza aceste acreditari pentru a interactiona cu orice serviciu AWS, cum ar fi Amazon S3 si DynamoDB.

Kubernetes foloseste de mult conturile de servicii ca propriul sistem intern de identitate. Pod-urile se pot autentifica cu serverul API Kubernetes folosind un simbol auto-montat (care era un JWT non-OIDC) pe care numai serverul API Kubernetes il putea valida. Aceste jetoane de cont de serviciu vechi nu expira, iar rotirea cheii de semnare este un proces dificil. In Kubernetes versiunea 1.12, a fost adaugat suport pentru o noua caracteristica ProjectedServiceAccountToken, care este un token web OIDC JSON care contine, de asemenea, identitatea contului de serviciu si accepta un public configurabil.

Amazon EKS gazduieste acum un punct final public de descoperire OIDC per cluster care contine cheile de semnare pentru jetoanele web JSON ProjectedServiceAccountToken, astfel incat sistemele externe, cum ar fi IAM, pot valida si accepta jetoanele OIDC emise de Kubernetes.

Configurarea rolului IAM

In IAM, creati un rol IAM cu o relatie de incredere care este cuprinsa in furnizorul OIDC al clusterului, spatiul de nume al contului de serviciu si (optional) numele contului de serviciu, apoi atasati politica IAM pe care doriti sa o asociati cu contul de serviciu . Puteti adauga mai multe intrari in conditiile StringEquals si StringLike de mai jos pentru a utiliza mai multe conturi de servicii sau spatii de nume cu rolul.

  • Pentru a acoperi un rol unui anumit cont de serviciu:

    {“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Principal”: {“Federated”: “arn: aws: iam :: <ACCOUNT_ID>: oidc- provider / <OIDC_PROVIDER> “},” Action “:” sts: AssumeRoleWithWebIdentity “,” Condition “: {” StringEquals “: {” <OIDC_PROVIDER>: sub “:” system: serviceaccount: <SERVICE_ACCOUNT_NAMESPACE>: <SERVICE>: <SERVICE> }}]}

  • Pentru a acoperi un rol intr-un intreg spatiu de nume (pentru a utiliza spatiul de nume ca granita):

    {“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Principal”: {“Federated”: “arn: aws: iam :: <ACCOUNT_ID>: oidc- provider / <OIDC_PROVIDER> “},” Action “:” sts: AssumeRoleWithWebIdentity “,” Condition “: {” StringLike “: {” <OIDC_PROVIDER>: sub “:” system: serviceaccount: <SERVICE_ACCOUNT_NAMESPACE>: * “}} ]}

Configurarea contului de serviciu

In Kubernetes, definiti rolul IAM de asociat cu un cont de serviciu din clusterul dvs. adaugand adnotarea eks.amazonaws.com/role-arn in contul de serviciu.

apiVersion: v1 kind: ServiceAccount metadata: adnotari: eks.amazonaws.com/role-arn: arn: aws: iam :: <ACCOUNT_ID>: role / <IAM_ROLE_NAME>

Configurarea podului

Amazon EKS Pod Identity Webhook pe cluster urmareste pod-urile asociate conturilor de servicii cu aceasta adnotare si le aplica urmatoarele variabile de mediu.

AWS_ROLE_ARN = arn: aws: iam :: <ACCOUNT_ID>: rol / <IAM_ROLE_NAME> AWS_WEB_IDENTITY_TOKEN_FILE = / var / run / secrets / eks.amazonaws.com / serviceaccount / token

Clusterul dvs. nu trebuie sa utilizeze carligul web mutant pentru a configura variabilele de mediu si monturile de fisiere token; puteti alege sa configurati pod-uri pentru a adauga manual aceste variabile de mediu.

Versiunile acceptate ale AWS SDK cauta aceste variabile de mediu mai intai in furnizorul lantului de acreditari. Acreditarile de rol sunt utilizate pentru pod-urile care indeplinesc aceste criterii.

In mod implicit, numai containerele care ruleaza ca root au permisiunile corespunzatoare ale sistemului de fisiere pentru a citi fisierul simbol al identitatii web. Puteti furniza aceste permisiuni executand containerele dvs.

jovencitasxxx ver pelis eroticas
porno español creampie maduras tocandose
me follo a abuela caliente
se folla a su hermana colegialas peludas
potro de bilbao porno interactivo gratis
xxx abuelas porno español de maduras
mamasxxx se corre en el coño de su hija
videos porno gratis caseros españolas follando en la playa
michelle jenner desnuda corridas anales
incestos gays superculos
recopilacion pajas videos porno para mujeres gratis
tetonas en español le pilla pajeandose
pornovideo super maduras
viendo como se follan a mi mujer joven folla por dinero
madresxxx inazuma eleven xxx
chupadas milf camara oculta
pelisxxx monica hoyos porno
presentadoras desnudas viejas cachondas
follando en español incesto en espanol
incesto subtitulado porno casadas españolas

ca root sau oferind urmatorul context de securitate pentru containerele din manifestul dvs. ID-ul fsGroup este arbitrar si puteti alege orice ID de grup valid. Pentru mai multe informatii despre implicatiile setarii unui context de securitate pentru pod-urile dvs., consultati Configurarea unui context de securitate pentru un pod sau container in documentatia Kubernetes.

Furnizarea acestui context de securitate nu este necesara pentru clustere 1.19 sau mai recente.

apiVersion: apps / v1 kind: Metadate de implementare: nume: <my-app> spec: template: metadata: labels: app: <my-app> spec: serviceAccountName: <my-app> containere: – nume: <my-app > image: <my-app>: ultima securitate Context: fsGroup: <1337>

Kubelet solicita si stocheaza jetonul in numele podului. In mod implicit, kubelet reimprospateaza jetonul daca este mai vechi de 80% din TTL-ul sau total sau daca jetonul este mai vechi de 24 de ore. Puteti modifica durata de expirare pentru orice cont, cu exceptia contului prestabilit de servicii, cu setari in specificatiile pod-ului dvs. Pentru mai multe informatii, consultati Proiectia volumului jetonului contului de serviciu din documentatia Kubernetes.

Permisiuni IAM pe mai multe conturi

Puteti configura permisiuni IAM pe mai multe conturi, fie prin crearea unui furnizor de identitate din clusterul unui alt cont, fie prin utilizarea operatiilor AssumeRole inlantuite. In exemplele urmatoare, Contul A detine un cluster Amazon EKS care accepta roluri IAM pentru conturile de servicii. Pod-urile care ruleaza pe acel cluster trebuie sa isi asume permisiunile IAM din contul B.

Exemplu: Creati un furnizor de identitate din clusterul unui alt cont

In acest exemplu, Contul A va furniza Contului B adresa URL a emitentului OIDC din clusterul lor. Contul B urmeaza instructiunile din Creati un furnizor IAM OIDC pentru clusterul dvs. si Crearea unui rol si politica IAM pentru contul dvs. de serviciu utilizand adresa URL a emitentului OIDC din clusterul Contului A. Apoi, un administrator de cluster adnoteaza contul de serviciu din clusterul Contului A pentru a utiliza rolul din Contul B.

apiVersion: v1 kind: ServiceAccount metadata: adnotari: eks.amazonaws.com/role-arn: arn: aws: iam :: <ACCOUNT_B_ID>: role / <IAM_ROLE_NAME>

Exemplu: Utilizati operatiuni AssumeRole inlantuite

In acest exemplu, Contul B creeaza o politica IAM cu permisiunile de a da pod-urilor din clusterul Contului A. Contul B ataseaza acea politica unui rol IAM cu o relatie de incredere care permite permisiuni AssumeRole la Contul A (111111111111), asa cum se arata mai jos.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Principal”: {“AWS”: “arn: aws: iam :: 111111111111: root”}, „Actiune”: „sts: AssumeRole”, „Condition”: {}}]}

Contul A creeaza un rol cu ​​o politica de incredere care obtine acreditari de la furnizorul de identitate creat cu adresa URL a emitentului OIDC al clusterului, asa cum se arata mai jos.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Principal”: {“Federated”: “arn: aws: iam :: 111111111111: oidc-provider / oidc.eks. <region-code> .amazonaws.com / id / EXAMPLEC061A78C479E31025A21AC4CDE191335D05820BE5CE “},” Action “:” sts: AssumeRoleWithWebIdentity “}]}

Contul A ataseaza o politica rolului respectiv cu urmatoarele permisiuni pentru a-si asuma rolul creat de contul B.

{“Version”: “2012-10-17”, “Statement”: [{“Effect”: “Allow”, “Action”: “sts: AssumeRole”, “Resource”: “arn: aws: iam :: 222222222222 : rol / cont-b-rol “}]}

Codul aplicatiei pentru pod-uri pentru a-si asuma rolul Contului B utilizeaza doua profiluri: account_b_role si account_a_role. Profilul account_b_role foloseste profilul account_a_role ca sursa. Pentru AWS CLI, fisierul ~ / .aws / config ar arata ca urmatorul exemplu.

[profil account_b_role] source_profile = account_a_role role_arn = arn: aws: iam :: 222222222222: role / account-b-role [profile account_a_role] web_identity_token_file = /var/run/secrets/eks.amazonaws.com/serviceaccount/noken role_arn : aws: iam :: 111111111111: role / account-a-role

Pentru a specifica profiluri inlantuite pentru alte SDK-uri AWS, consultati documentatia acestora.

ARTICOLE SIMILAREDE LA ACELAȘI AUTOR