Concesión de acceso para ver los recursos del clúster de Kubernetes en una consola de Amazon EKS - Amazon EKS

Concesión de acceso para ver los recursos del clúster de Kubernetes en una consola de Amazon EKS

Otorgue acceso a la consola de Amazon EKS a las entidades principales de IAM para ver la información sobre los recursos de Kubernetes que se ejecutan en el clúster conectado.

Requisitos previos

La entidad principal de IAM que utiliza para acceder a la AWS Management Console debe cumplir con los siguientes requisitos:

  • Debe tener el permiso de IAM eks:AccessKubernetesApi.

  • La cuenta del servicio de Amazon EKS Connector puede suplantar la entidad principal de IAM en el clúster. Esto permite que Amazon EKS Connector asigne la entidad principal de IAM a un usuario de Kubernetes.

Para crear y aplicar el rol del clúster de Amazon EKS Connector

  1. Descargue la plantilla de rol de clúster eks-connector.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. Edite el archivo YAML de la plantilla de roles del clúster. Sustituya las referencias de %IAM_ARN% por el nombre de recurso de Amazon (ARN) de la entidad principal de IAM.

  3. Aplique el archivo YAML de rol de clúster de Amazon EKS Connector al clúster de Kubernetes.

    kubectl apply -f eks-connector-clusterrole.yaml

Para que una entidad principal de IAM visualice los recursos de Kubernetes en la consola de Amazon EKS, la entidad de principal debe estar asociada a un role o clusterrole de Kubernetes con los permisos necesarios para leer estos recursos. Para obtener más información, consulte Uso de la autorización de RBAC en la documentación de Kubernetes.

Para configurar una entidad principal de IAM para que acceda al clúster conectado

  1. Puede descargar uno de estos archivos de manifiesto de ejemplo para crear un clusterrole y clusterrolebinding o un role y rolebinding, respectivamente:

    Ver recursos de Kubernetes en todos los espacios de nombres
    • El rol del clúster de eks-connector-console-dashboard-full-access-clusterrole da acceso a todos los espacios de nombres y recursos que se pueden visualizar en la consola. Puede cambiar el nombre de role, clusterrole y su enlace correspondiente antes de aplicarlos al clúster. Utilice el siguiente comando para descargar un archivo de muestra.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    Ver recursos de Kubernetes en un espacio de nombres específico
    • El espacio de nombres en este archivo es default, así que si desea especificar un espacio de nombres diferente, edite el archivo antes de aplicarlo al clúster. Utilice el siguiente comando para descargar un archivo de muestra.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. Edite el archivo YAML de acceso completo o acceso restringido para reemplazar las referencias de %IAM_ARN% por el nombre de recurso de Amazon (ARN) de la entidad principal de IAM.

  3. Aplique los archivos YAML de acceso completo o acceso restringido a su clúster de Kubernetes. Reemplace el valor del archivo YAML por el suyo propio.

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

Para ver los recursos de Kubernetes en el clúster conectado, consulte Vea los recursos de Kubernetes en la AWS Management Console. Datos de algunos tipos de recursos de la pestaña Recursos no está disponible para clústeres conectados.