Hilf mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bevor Sie IAM verwenden, um den Zugriff auf Amazon EKS zu verwalten, sollten Sie verstehen, welche IAM-Funktionen für die Verwendung mit Amazon EKS verfügbar sind. Einen allgemeinen Überblick darüber, wie Amazon EKS und andere AWS Services mit IAM zusammenarbeiten, finden Sie im IAM-Benutzerhandbuch unter AWS Services, die mit IAM funktionieren.
Themen
Identitätsbasierte Amazon-EKS-Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Amazon EKS unterstützt bestimmte Aktionen, Ressourcen und Zustandsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.
Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.
Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, für die nur eine Genehmigung erforderlich ist und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.
Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.
Richtlinienaktionen in Amazon EKS verwenden das folgende Präfix vor der Aktion: eks:. Um jemandem beispielsweise die Berechtigung zum Abrufen von Informationen zu einem Amazon-EKS-Cluster zu erteilen, fügen Sie die Aktion DescribeCluster in seine Richtlinie ein. Richtlinienanweisungen müssen entweder ein Action- oder ein NotAction-Element enthalten.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
"Action": ["eks:action1", "eks:action2"]Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "eks:Describe*"Eine Liste der Amazon-EKS-Aktionen finden Sie unter Von Amazon Elastic Kubernetes Service definierte Aktionen in der Serviceautorisierungsreferenz.
Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen kann.
Das JSON-Richtlinienelement Resource gibt die Objekte an, auf welche die Aktion angewendet wird. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.
Verwenden Sie bei Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, wie z. B. das Auflisten von Vorgängen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
"Resource": "*"
Die Amazon-EKS-Cluster-Ressource verfügt über den folgenden ARN:
arn:aws: eks:region-code:account-id:cluster/cluster-name
Weitere Informationen zum Format von ARNs finden Sie unter Amazon-Ressourcennamen (ARNs) und AWS Service-Namespaces.
Um beispielsweise den Cluster mit dem Namen my-cluster in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN:
"Resource": "arn:aws: eks:region-code:111122223333:cluster/my-cluster"Um alle Cluster anzugeben, die zu einem bestimmten Konto und einer bestimmten AWS Region gehören, verwenden Sie den Platzhalter (*):
"Resource": "arn:aws: eks:region-code:111122223333:cluster/*"Einige Amazon EKS-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.
"Resource": "*"Eine Liste der Amazon EKS-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Von Amazon Elastic Kubernetes Service definierte Ressourcen in der Service Authorization Reference. Um zu erfahren, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, lesen Sie von Amazon Elastic Kubernetes Service definierte Aktionen.
Bedingungsschlüssel
Amazon EKS definiert seinen eigenen Satz von Konditionsschlüsseln und unterstützt auch die Verwendung einiger globaler Konditionsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter AWS Global Condition Context Keys im IAM-Benutzerhandbuch.
Sie können Bedingungsschlüssel festlegen, wenn Sie Ihrem Cluster einen OpenID Connect-Anbieter zuordnen. Weitere Informationen finden Sie unter Beispiel für eine IAM-Richtlinie.
Alle EC2 Amazon-Aktionen unterstützen die Tasten aws:RequestedRegion und ec2:Region Condition. Weitere Informationen finden Sie unter Beispiel: Beschränkung des Zugriffs auf eine bestimmte AWS Region.
Eine Liste der Amazon EKS-Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für Amazon Elastic Kubernetes Service in der Service-Autorisierungsreferenz. Um zu erfahren, mit welchen Aktionen und Ressourcen Sie einen Bedingungsschlüssel verwenden können, lesen Sie von Amazon Elastic Kubernetes Service definierte Aktionen.
Beispiele
Beispiele für identitätsbasierte Amazon-EKS-Richtlinien finden Sie unter Beispiele für identitätsbasierte Amazon-EKS-Richtlinien.
Wenn Sie einen Amazon EKS-Cluster erstellen, erhält der IAM-Principal, der den Cluster erstellt, automatisch system:masters Berechtigungen für die rollenbasierte Zugriffskontrolle (RBAC) des Clusters in der Amazon EKS-Kontrollebene. Dieser Prinzipal wird in keiner sichtbaren Konfiguration angezeigt. Vergewissern Sie sich daher, dass Sie stets im Auge behalten, welcher Prinzipal den Cluster ursprünglich erstellt hat. Um weiteren IAM-Prinzipalen die Möglichkeit zu geben, mit Ihrem Cluster zu interagieren, bearbeiten Sie die aws-auth ConfigMap in Kubernetes und erstellen Sie ein Kubernetes rolebinding oder clusterrolebinding mit dem Namen einesgroup, den Sie in der angeben. aws-auth ConfigMap
Weitere Informationen zur Arbeit mit dem finden Sie unter. ConfigMap Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs
Ressourcenbasierte Amazon-EKS-Richtlinien
Amazon EKS unterstützt keine ressourcenbasierten Richtlinien.
Autorisierung auf der Basis von Amazon-EKS-Tags
Sie können Tags an Amazon-EKS-Ressourcen anhängen oder Tags in einer Anforderung an Amazon EKS übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel aws:ResourceTag/, key-name
aws:RequestTag/, oder key-name
aws:TagKeysBedingung verwenden. Weitere Informationen über die Markierung von Amazon-EKS-Ressourcen finden Sie unter Organisieren Sie Amazon EKS-Ressourcen mit Tags. Weitere Informationen darüber, mit welchen Aktionen Sie Tags in Bedingungsschlüsseln verwenden können, finden Sie unter Von Amazon EKS definierte Aktionen in der Service-Authorization-Referenz.
Amazon EKS IAM-Rollen
Eine IAM-Rolle ist eine Entität innerhalb Ihres AWS Kontos, die über bestimmte Berechtigungen verfügt.
Verwenden temporärer Anmeldeinformationen mit Amazon EKS
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS-API-Operationen wie AssumeRoleoder GetFederationTokenaufrufen.
Amazon EKS unterstützt die Verwendung temporärer Anmeldeinformationen.
Serviceverknüpfte Rollen
link:IAM/latest/UserGuide/id_roles.html#iam-term-service-linked-role[Service-linked roles,type="documentation"] allow {aws} services to access resources in other services to complete an action on your behalf. Service-linked roles appear in your IAM account and are owned by the service. An administrator can view but can't edit the permissions for service-linked roles.Amazon EKS unterstützt Service-verknüpfte Rollen. Details zum Erstellen oder Verwalten von serviceverknüpften Amazon-EKS-Rollen finden Sie unter Verwendung von serviceverknüpften Rollen für Amazon EKS.
Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Services beeinträchtigen.
Amazon EKS unterstützt Servicerollen. Weitere Informationen erhalten Sie unter Amazon-EKS-Cluster-IAM-Rolle und Amazon-EKS-Knoten-IAM-Rolle.
Auswählen einer IAM-Rolle in Amazon EKS
Wenn Sie eine Cluster-Ressource in Amazon EKS erstellen, müssen Sie eine Rolle auswählen, damit Amazon EKS in Ihrem Namen auf mehrere andere AWS Ressourcen zugreifen kann. Wenn Sie zuvor eine Servicerolle erstellt haben, stellt Ihnen Amazon EKS eine Liste der Rollen bereit, aus denen Sie auswählen können. Es ist wichtig, eine Rolle auszuwählen, der die von Amazon EKS verwalteten Richtlinien zugeordnet sind. Weitere Informationen erhalten Sie unter Überprüfen, ob eine Clusterrolle vorhanden ist und Nach einer vorhandenen Knotenrolle suchen.
