Amazon EKS 使用新的 IAM 条件键增强集群治理
Amazon Elastic Kubernetes Service (EKS) 现在支持集群创建和配置 API 使用另外七个 IAM 条件键,从而增强了通过 IAM 策略和服务控制策略 (SCP) 提供的治理控制。管理多账户环境的组织需要集中化机制,以便在所有集群中统一强制执行安全性和合规性要求,而无需依赖手动流程或部署后检查。此次 EKS IAM 条件键的扩展可进一步支持主动式策略强制执行,为组织提供更精细的控制,从而为集群配置建立防护机制。
组织现在可以实施以下策略:强制执行仅限私有的 API 端点(eks:endpointPublicAccess、eks:endpointPrivateAccess),要求使用客户托管的 AWS KMS 密钥进行密钥加密 (eks:encryptionConfigProviderKeyArns),将集群限制在经批准的 Kubernetes 版本 (eks:kubernetesVersion),对生产工作负载强制启用删除保护 (eks:deletionProtection),指定控制面板扩缩级别 (eks:controlPlaneScalingTier),以及启用可用区转移功能以实现高可用性 (eks:zonalShiftEnabled)。这些条件键适用于 CreateCluster、UpdateClusterConfig、UpdateClusterVersion 和 AssociateEncryptionConfig API,可与 AWS Organizations SCP 无缝集成,实现多账户集中治理。
新的 IAM 条件键已在所有提供 Amazon EKS 的 AWS 区域推出,无需额外付费。要了解有关 Amazon EKS IAM 条件键的更多信息,请参阅 Amazon EKS 用户指南和 Amazon EKS 服务授权参考。有关实施服务控制策略的信息,请参阅 AWS Organizations 文档。