Amazon EKS aprimora a governança do cluster com novas chaves de condição do IAM
O Amazon Elastic Kubernetes Service (EKS) agora oferece suporte a sete chaves de condição do IAM adicionais para APIs de criação e configuração de clusters, o que aprimora os controles de governança disponíveis por meio de políticas do IAM e políticas de controle de serviços (SCPs). As organizações que gerenciam ambientes com várias contas precisam de mecanismos centralizados para aplicar requisitos de segurança e conformidade de forma consistente em todos os clusters, sem depender de processos manuais ou verificações pós-implantação. Essa expansão das chaves de condição do EKS IAM reforça a aplicação proativa de políticas, que oferece às organizações um controle mais detalhado para estabelecer barreiras de proteção para configurações de cluster.
As organizações agora podem impor endpoints de API exclusivamente privados (eks:endpointPublicAccess, eks:endpointPrivateAccess), exigir chaves do AWS KMS gerenciadas pelo cliente para criptografia de segredos (eks:encryptionConfigProviderKeyArns), restringir clusters a versões aprovadas do Kubernetes (eks:kubernetesVersion), exigir proteção contra exclusão para workloads de produção (eks:deletionProtection), definir níveis de escalonamento do ambiente de gerenciamento (eks:controlPlaneScalingTier) e habilitar recursos de mudança de zona para alta disponibilidade (eks:zonalShiftEnabled). Essas chaves de condição se aplicam às APIs CreateCluster, UpdateClusterConfig, UpdateClusterVersion e AssociateEncryptionConfig, e se integram perfeitamente às SCPs do AWS Organizations para uma governança centralizada entre as contas.
As novas chaves de condição do IAM estão disponíveis em todas as regiões da AWS que oferecem o Amazon EKS, sem custo adicional. Para saber mais sobre as chaves de condição IAM do Amazon EKS, consulte o Guia do usuário do Amazon EKS e a Referência de autorização de serviço para o Amazon EKS. Para obter informações sobre a implementação de políticas de controle de serviços, consulte a documentação do AWS Organizations.