EKS 功能的安全注意事项 - Amazon EKS
功能 IAM 角色EKS 访问条目其他 Kubernetes 权限功能所需的 IAM 权限安全最佳实践后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

EKS 功能的安全注意事项

本主题涵盖了 EKS 功能的重要安全注意事项,包括 IAM 角色配置、Kubernetes 权限、多集群部署的架构模式和跨账户 Amazon 资源管理。

EKS 功能使用 IAM 角色、EKS 访问条目和 Kubernetes RBAC 的组合来提供对 Amazon 服务、集群内 Kubernetes 资源以及与 Amazon CodeConnections、Amazon Secrets Manager 和其他 Amazon 服务的集成的安全访问。

功能 IAM 角色

创建功能时,您将提供一个 IAM 功能角色,EKS 使用该角色代表您执行操作。此角色必须满足以下要求:

最佳做法是考虑您的特定使用案例所需的权限范围,并仅授予满足您的要求所必需的权限。例如,在使用 Kube Resource Orchestrator 的 EKS 功能时,可能不需要 IAM 权限,而在使用 Amazon Controllers for Kubernetes 的 EKS 功能时,您可以授予对一项或多项 Amazon 服务的完全访问权限。

重要

虽然某些使用案例可能需要使用广泛的管理权限,但要遵循最低权限原则,即仅授予特定使用案例所需的最低 IAM 权限,使用 ARN 和条件键而不是使用通配符权限来限制对特定资源的访问。

有关创建和配置功能 IAM 角色的详细信息,请参阅 Amazon EKS 功能 IAM 角色

EKS 访问条目

当您使用 IAM 角色创建功能时,Amazon EKS 会在您的集群上自动为该角色创建访问条目。此访问条目授予功能基准 Kubernetes 权限,使其能够运行。

注意

将为创建该功能所在的集群创建访问条目。要将 Argo CD 部署到远程集群,您必须在这些集群上创建访问条目,使其具有部署和管理应用程序的 Argo CD 功能的相应权限。

访问条目包括:

  • 作为主体的 IAM 角色 ARN

  • 授予基准 Kubernetes 权限的功能特定访问条目策略

  • 基于功能类型的适当范围(集群范围或命名空间范围)

注意

对于 Argo CD,将向功能配置中指定的命名空间授予命名空间范围的权限(默认为 argocd)。

按功能划分的默认访问条目策略

每种功能类型都向功能角色授予所需的权限,设置如下所示的不同默认访问条目策略:

kro

  • arn:aws:eks::aws:cluster-access-policy/AmazonEKSKROPolicy(集群范围)

    授予监视和管理 ResourceGraphDefinitions 以及创建由 RGD 定义的自定义资源实例的权限。

确认

  • arn:aws:eks::aws:cluster-access-policy/AmazonEKSACKPolicy(集群范围)

    授予在所有命名空间中创建、读取、更新和删除 ACK 自定义资源的权限。

Argo CD

  • arn:aws:eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy(集群范围)

    授予 Argo CD 的集群级别权限,以便发现资源,并管理集群范围内的对象。

  • arn:aws:eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy(命名空间范围)

    授予 Argo CD 部署和管理应用程序的命名空间级权限。范围限定为功能配置中指定的命名空间(默认为 argocd)。

有关更多详细信息,请参阅检查访问策略权限

其他 Kubernetes 权限

某些功能可能需要除默认访问条目策略之外的其他 Kubernetes 权限。您可以使用以下任一方法授予这些权限:

  • 访问条目策略:将其他托管策略与访问条目相关联

  • Kubernetes RBAC:为该功能的 Kubernetes 用户创建 RoleClusterRole 绑定

ACK 密钥读取器权限

某些 ACK 控制器需要读取 Kubernetes 密钥才能检索数据库密码等敏感数据。以下 ACK 控制器需要密钥读取权限:

  • acm, acmpca, documentdb, memorydb, mq, rds, secretsmanager

要授予密钥读取权限,请执行以下操作:

  1. arn:aws:eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy 访问条目策略与功能的访问条目相关联

  2. 将策略范围限定到特定的命名空间,ACK 资源将在其中引用密钥,或者授予整个集群的访问权限

重要

密钥读取权限的范围限定为您在关联访问条目策略时指定的命名空间。这允许您限制该功能可以访问的密钥。

kro 任意资源权限

kro 需要权限才能创建和管理 ResourceGraphDefinitions 中定义的资源。默认情况下,kro 只能自行监视和管理 RGD。

要授予 kro 创建资源的权限,请执行以下操作:

选项 1:访问条目策略

将预定义的访问条目策略(如 AmazonEKSAdminPolicyAmazonEKSEditPolicy)与功能的访问条目相关联。

选项 2:Kubernetes RBAC

创建一个向该功能的 Kubernetes 用户授予必要权限的 ClusterRoleBinding

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kro-cluster-admin
subjects:
- kind: User
  name: arn:aws:sts::111122223333:assumed-role/my-kro-role/kro
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io
注意

kro 的 Kubernetes 用户名遵循以下模式:arn:aws:sts::ACCOUNT_ID:assumed-role/ROLE_NAME/kro

会话名称 /kro 由 EKS kro 功能自动设置。

功能所需的 IAM 权限

kro(Kube Resource Orchestrator)

不需要 IAM 权限。您可以创建没有附加策略的功能角色。kro 只需要 Kubernetes RBAC 权限。

ACK(Amazon Controllers for Kubernetes)

需要权限才能管理 ACK 将创建和管理的 Amazon 资源。您应根据自己的要求将权限范围限定为特定服务、操作和资源。有关配置 ACK 权限的详细信息,包括使用 IAM 角色选择器的生产最佳实践,请参阅配置 ACK 权限

Argo CD

默认情况下,不需要 IAM 权限。以下功能可能需要可选权限:

  • Amazon Secrets Manager:如果在 Secrets Manager 中存储 Git 存储库凭证

  • Amazon CodeConnections:如果使用 CodeConnections 进行 Git 存储库身份验证

  • Amazon ECR:如果使用在 Amazon ECR 中以 OCI 格式存储的 Helm 图表

安全最佳实践

IAM 最低权限

仅授予您的功能资源您的使用案例所需的权限。这并不意味着在需要时您无法向自己的功能授予广泛的管理权限。在这种情况下,您应适当地管理对这些资源的访问权限。

功能角色

  • ACK:在可能的情况下,根据使用案例和要求,将 IAM 权限限制为仅能访问团队所需的特定 Amazon 服务和资源

  • Argo CD:限制对特定的 Git 存储库和 Kubernetes 命名空间的访问权限

  • kro:需要信任策略的功能角色,但不需要 IAM 权限(仅使用集群 RBAC)

示例:为特定资源或资源组指定模式,而非 "Resource": "*"

"Resource": [
  "arn:aws:s3:::my-app-*",
  "arn:aws:rds:us-west-2:111122223333:db:prod-*"
]

使用 IAM 条件键进一步限制访问权限:

"Condition": {
  "StringEquals": {
    "aws:ResourceTag/Environment": "production"
  }
}

有关其他 IAM 配置信息,请参阅每项功能的注意事项部分。

Argo CD 密钥的命名空间隔离

托管 Argo CD 功能可以访问其配置的命名空间中的所有 Kubernetes 密钥(默认:argocd)。要保持最佳安全状况,请遵循以下命名空间隔离实践:

  • 在 Argo CD 命名空间中只保留 Argo CD 相关的密钥

  • 避免将不相关的应用程序密钥存储在与 Argo CD 相同的命名空间中

  • 使用单独的命名空间来存放 Argo CD 操作不需要的应用程序密钥

这种隔离可确保 Argo CD 的密钥访问权限仅限于 Git 存储库身份验证和其他 Argo CD 特定操作所需的凭证。

Kubernetes RBAC

控制哪些用户和服务账户可以创建和管理功能资源。使用适当的 RBAC 策略在专用命名空间中部署功能资源是最佳实践。

示例:与 ACK 配合使用 RBAC 角色,允许在 app-team 命名空间中管理 S3 存储桶资源:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: ack-s3-manager
  namespace: app-team
rules:
- apiGroups: ["s3.services.k8s.aws"]
  resources: ["buckets"]
  verbs: ["get", "list", "create", "update", "delete"]

审计日志记录

CloudTrail:所有 EKS 功能 API 操作(创建、更新、删除)都将记录到 Amazon CloudTrail 中。

启用 CloudTrail 日志记录来跟踪:

  • 哪些用户创建或修改了功能

  • 功能配置发生更改时

  • 哪些功能角色在使用中

网络访问和 VPC 端点

私有 Argo CD API 访问权限

您可以通过将一个或多个 VPC 端点与托管的 Argo CD 端点关联,来限制对 Argo CD API 服务器的访问。这样就可以在您的 VPC 内私有连接到 Argo CD 用户界面和 API,而无需通过公共互联网。

注意

连接到托管的 Argo CD API 端点的 VPC 端点(使用 eks-capabilities.region.amazonaws.com)不支持 VPC 端点策略。

部署到私有集群

Argo CD 功能可以将应用程序部署到完全私有的 EKS 集群,无需进行 VPC 对等互连或复杂的网络配置,从而提供显著的运营优势。但是,在设计此架构时,请考虑 Argo CD 将从 Git 存储库(可能是公有存储库)中拉取配置并将其应用于您的私有集群。

请确保:

  • 使用私有 Git 存储库处理敏感工作负载

  • 实施适当的 Git 仓库访问控制和身份验证

  • 先通过拉取请求查看和批准更改,再进行合并

  • 考虑使用 Argo CD 的同步窗口来控制部署的时间

  • 监控 Argo CD 审计日志中是否有未经授权的配置更改

合规性

EKS 功能是完全托管的,并已获得 Amazon EKS 的合规性认证。

有关更多信息,请参阅按合规性计划划分的范围内的 Amazon 服务

后续步骤