Gewährung IAM Benutzerzugriff auf Kubernetes mit EKS-Zugangseinträgen - Amazon EKS
Erste SchritteKonfiguration für den Zugriff auf ältere Cluster

Helfen Sie mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gewährung IAM Benutzerzugriff auf Kubernetes mit EKS-Zugangseinträgen

Was sind EKS-Zugriffseinträge?

EKS-Zugriffseinträge sind der beste Weg, Benutzern Zugriff auf die Kubernetes-API zu gewähren. Sie können beispielsweise Zugriffseinträge verwenden, um Entwicklern Zugriff auf die Verwendung von kubectl zu gewähren.

Grundsätzlich verknüpft ein EKS-Zugriffseintrag eine Reihe von Kubernetes-Berechtigungen mit einer IAM-Identität, beispielsweise einer IAM-Rolle. Ein Entwickler kann beispielsweise eine IAM-Rolle annehmen und diese zur Authentifizierung bei einem EKS-Cluster verwenden.

Sie können Kubernetes-Berechtigungen auf zwei Arten an Zugriffseinträge anhängen:

  • Verwenden Sie eine Zugriffsrichtlinie. Zugriffsrichtlinien sind vordefinierte Kubernetes-Berechtigungsvorlagen, die von verwaltet werden. AWS Weitere Informationen finden Sie unter Überprüfen Sie die Zugriffsrichtlinienberechtigungen.

  • Verweisen Sie auf eine Kubernetes-Gruppe. Wenn Sie einer Kubernetes-Gruppe eine IAM-Identität zuordnen, können Sie Kubernetes-Ressourcen erstellen, die der Gruppe Berechtigungen gewähren. Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

Vorteile

Mit dem Amazon EKS-Cluster-Zugriffsmanagement können Sie die Authentifizierung und Autorisierung für Ihre Kubernetes-Cluster direkt über Amazon EKS steuern. APIs Diese Funktion vereinfacht die Zugriffsverwaltung, da Sie bei der Verwaltung von Benutzerberechtigungen nicht zwischen AWS und Kubernetes APIs wechseln müssen. Mithilfe von Zugriffseinträgen und Zugriffsrichtlinien können Sie detaillierte Berechtigungen für AWS IAM-Prinzipale definieren, einschließlich der Möglichkeit, Cluster-Admin-Berechtigungen vom Cluster-Ersteller zu ändern oder zu entziehen.

Die Funktion lässt sich in Infrastructure-as-Code-Tools (IaC) wie Terraform und AWS CDK integrieren AWS CloudFormation, sodass Sie bei der Clustererstellung Zugriffskonfigurationen definieren können. Wenn Fehlkonfigurationen auftreten, können Sie den Cluster-Zugriff über die Amazon EKS-API wiederherstellen, ohne direkten Kubernetes-API-Zugriff zu benötigen. Dieser zentralisierte Ansatz reduziert den betrieblichen Aufwand und verbessert die Sicherheit, indem bestehende AWS IAM-Funktionen wie CloudTrail Audit-Logging und Multi-Faktor-Authentifizierung genutzt werden.

Erste Schritte

  1. Ermitteln Sie die IAM-Identitäts- und Zugriffsrichtlinie, die Sie verwenden möchten.

  2. Aktivieren Sie EKS Access Entries auf Ihrem Cluster. Vergewissern Sie sich, dass Sie über eine unterstützte Plattformversion verfügen.

  3. Erstellen Sie einen Zugriffseintrag, der eine IAM-Identität mit einer Kubernetes-Berechtigung verknüpft.

  4. Authentifizieren Sie sich mit der IAM-Identität beim Cluster.

Konfiguration für den Zugriff auf ältere Cluster

Wenn Sie EKS-Zugriffseinträge auf Clustern aktivieren, die vor der Einführung dieser Funktion erstellt wurden (Cluster mit ersten Plattformversionen, die älter sind als die unter Anforderungen für die Plattformversion angegebenen), erstellt EKS automatisch einen Zugriffseintrag, der bereits bestehende Berechtigungen widerspiegelt. Dieser Zugriffseintrag zeigt:

  • Die IAM-Identität, mit der der Cluster ursprünglich erstellt wurde

  • Die Administratorberechtigungen, die dieser Identität bei der Clustererstellung gewährt wurden

Anmerkung

Bisher wurde dieser Administratorzugriff automatisch gewährt und konnte nicht geändert werden. Wenn die EKS-Zugriffseinträge aktiviert sind, können Sie diese ältere Zugriffskonfiguration jetzt anzeigen und löschen.