Amazon EKS 使用新的 IAM 条件密钥增强集群治理
Amazon Elastic Kubernetes Service(EKS)现在支持另外七个 IAM 条件密钥用于集群创建和配置 API,从而增强了通过 IAM 策略和服务控制策略(SCP)提供的治理控制。管理多账户环境的组织需要集中化机制,进而在所有集群中一致地强制执行安全性和合规性要求,无需依赖手动流程或部署后检查。EKS IAM 条件密钥的这种扩展进一步支持主动的策略执行,为组织提供更精细的控制,可以为集群配置建立护栏。
组织现在可以强制使用仅限私有的 API 端点(eks:endpointPublicAccess,eks:endpointPrivateAccess),要求使用客户自主管理型 Amazon KMS 密钥进行秘密加密(eks:encryptionConfigProviderKeyArns),将集群限制在经批准的 Kubernetes 版本(eks:kubernetesVersion),强制对生产工作负载进行删除保护(eks:deletionProtection),指定控制面板扩缩层(eks:controlPlaneScalingTier),并启用可用区转移功能以实现高可用性(eks:zonalShiftEnabled)。这些条件密钥适用于 CreateCluster、UpdateClusterConfig、UpdateClusterVersion 和 AssociateEncryptionConfig API,可与 Amazon Organizations SCP 无缝集成,实现跨账户集中治理。
新的 IAM 条件密钥已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。要了解有关 Amazon EKS IAM 条件密钥的更多信息,请参阅 Amazon EKS 用户指南和 Amazon EKS 服务授权参考。有关实施服务控制策略的信息,请参阅亚马逊云科技组织文档。