Amazon EKS 透過新的 IAM 條件索引鍵增強叢集治理
Amazon Elastic Kubernetes Service (EKS) 現在針對叢集建立和組態 API 支援七個額外的 IAM 條件索引鍵,進而增強透過 IAM 政策和服務控制政策 (SCP) 提供的治理控制。管理多帳戶環境的組織需要集中式機制,才能在所有叢集中一致地強制執行安全和合規要求,而無需依賴手動程序或部署後檢查。本次對 EKS IAM 條件索引鍵的擴充能進一步實現主動式的政策強制執行,進而為組織提供更精細的控制,以為叢集組態建立防護機制。
組織現在可強制執行僅限私有的 API 端點 (eks:endpointPublicAccess、eks:endpointPrivateAccess)、要求使用客戶受管的 AWS KMS key 進行密碼加密 (eks:encryptionConfigProviderKeyArns)、限制叢集只能使用核准的 Kubernetes 版本 (eks:kubernetesVersion)、針對生產工作負載強制採用刪除保護 (eks:deletionProtection)、指定控制平面擴展層級 (eks:controlPlaneScalingTier),以及啟用區域轉移功能以實現高可用性 (eks:zonalShiftEnabled)。這些條件索引鍵適用於 CreateCluster、UpdateClusterConfig、UpdateClusterVersion 和 AssociateEncryptionConfig API,能與 AWS Organizations SCP 無縫整合,以實現跨帳戶集中治理。
新的 IAM 條件索引鍵於已在提供 Amazon EKS 的所有 AWS 區域推出,無需額外付費。若要進一步了解 Amazon EKS IAM 條件索引鍵,請參閱 Amazon EKS 使用者指南和適用於 Amazon EKS 的服務授權參考。如需實作服務控制政策的資訊,請參閱 AWS Organizations 文件。