

 **Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs
<a name="grant-k8s-access"></a>

Cluster Anda memiliki endpoint API Kubernetes. Kubectl menggunakan API ini. Anda dapat mengautentikasi ke API ini menggunakan dua jenis identitas:
+  ***Prinsip AWS * Identity and Access Management (IAM) and Access Management (peran atau pengguna) - Jenis ini memerlukan otentikasi ke IAM**. Pengguna dapat masuk AWS sebagai pengguna [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) atau dengan [identitas federasi](https://aws.amazon.com/identity/federation/) dengan menggunakan kredensyal yang disediakan melalui sumber identitas. Pengguna hanya dapat masuk dengan identitas federasi jika administrator Anda sebelumnya menyiapkan federasi identitas menggunakan peran IAM. Ketika pengguna mengakses AWS dengan menggunakan federasi, mereka secara tidak langsung [mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/when-to-use-iam.html#security-iam-authentication-iamrole). Saat pengguna menggunakan jenis identitas ini, Anda:
  + Dapat menetapkan mereka izin Kubernetes sehingga mereka dapat bekerja dengan objek Kubernetes di klaster Anda. Untuk informasi selengkapnya tentang cara menetapkan izin ke prinsipal IAM Anda sehingga mereka dapat mengakses objek Kubernetes di klaster Anda, lihat. [Berikan akses kepada pengguna IAM ke Kubernetes dengan entri akses EKS](access-entries.md)
  + Dapat menetapkan mereka izin IAM sehingga mereka dapat bekerja dengan kluster Amazon EKS Anda dan sumber dayanya menggunakan Amazon EKS API, AWS CLI,,, atau. AWS CloudFormation Konsol Manajemen AWS`eksctl` Untuk informasi selengkapnya, lihat [Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan.](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions)
  + Node bergabung dengan cluster Anda dengan mengasumsikan peran IAM. Kemampuan untuk mengakses klaster Anda menggunakan prinsipal IAM disediakan oleh [AWS IAM Authenticator for Kubernetes](https://github.com/kubernetes-sigs/aws-iam-authenticator#readme), yang berjalan di bidang kontrol Amazon EKS.
+  **Pengguna di penyedia OpenID Connect (OIDC) Anda sendiri — Jenis ini memerlukan otentikasi ke penyedia** [OIDC Anda.](https://openid.net/connect/) Untuk informasi selengkapnya tentang menyiapkan penyedia OIDC Anda sendiri dengan klaster Amazon EKS Anda, lihat. [Beri pengguna akses ke Kubernetes dengan penyedia OIDC eksternal](authenticate-oidc-identity-provider.md) Saat pengguna menggunakan jenis identitas ini, Anda:
  + Dapat menetapkan mereka izin Kubernetes sehingga mereka dapat bekerja dengan objek Kubernetes di klaster Anda.
  + Tidak dapat menetapkan mereka izin IAM sehingga mereka dapat bekerja dengan kluster Amazon EKS Anda dan sumber dayanya menggunakan Amazon EKS API, AWS CLI,,, atau. AWS CloudFormation Konsol Manajemen AWS`eksctl`

Anda dapat menggunakan kedua jenis identitas dengan cluster Anda. Metode otentikasi IAM tidak dapat dinonaktifkan. Metode otentikasi OIDC adalah opsional.

## Kaitkan Identitas IAM dengan Izin Kubernetes
<a name="authentication-modes"></a>

[AWS IAM Authenticator untuk Kubernetes](https://github.com/kubernetes-sigs/aws-iam-authenticator#readme) diinstal pada control plane cluster Anda. Ini memungkinkan prinsipal (peran [dan pengguna)AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) (IAM) yang Anda izinkan untuk mengakses sumber daya Kubernetes di klaster Anda. Anda dapat mengizinkan prinsipal IAM untuk mengakses objek Kubernetes di klaster Anda menggunakan salah satu metode berikut:
+  **Membuat entri akses** — Jika klaster Anda berada pada atau lebih lambat dari versi platform yang tercantum di bagian [Prasyarat](access-entries.md) untuk versi Kubernetes klaster Anda, kami sarankan Anda menggunakan opsi ini.

  Gunakan *entri akses* untuk mengelola izin Kubernetes dari prinsipal IAM dari luar klaster. Anda dapat menambahkan dan mengelola akses ke cluster dengan menggunakan EKS API, AWS Command Line Interface AWS SDKs, AWS CloudFormation, dan Konsol Manajemen AWS. Ini berarti Anda dapat mengelola pengguna dengan alat yang sama dengan yang Anda buat dengan cluster.

  Untuk memulai, ikuti [Ubah mode autentikasi untuk menggunakan entri akses, lalu Memigrasi entri ConfigMap ](setting-up-access-entries.md) [aws-auth yang ada untuk](migrating-access-entries.md) mengakses entri.
+  **Menambahkan entri ke `aws-auth` `ConfigMap`** — Jika versi platform cluster Anda lebih awal dari versi yang tercantum di bagian [Prasyarat](access-entries.md), maka Anda harus menggunakan opsi ini. Jika versi platform klaster Anda pada atau lebih lambat dari versi platform yang tercantum di bagian [Prasyarat](access-entries.md) untuk versi Kubernetes klaster Anda, dan Anda telah menambahkan entri ke`ConfigMap`, maka sebaiknya Anda memigrasikan entri tersebut untuk mengakses entri. `ConfigMap`Namun, Anda tidak dapat memigrasikan entri yang ditambahkan Amazon EKS, seperti entri untuk peran IAM yang digunakan dengan grup node terkelola atau profil Fargate. Untuk informasi selengkapnya, lihat [Berikan akses kepada pengguna dan peran IAM ke Kubernetes APIs](#grant-k8s-access).
  + Jika Anda harus menggunakan `aws-auth` `ConfigMap` opsi, Anda dapat menambahkan entri ke `ConfigMap` menggunakan `eksctl create iamidentitymapping` perintah. Untuk informasi selengkapnya, lihat [Mengelola pengguna dan peran IAM](https://eksctl.io/usage/iam-identity-mappings/) dalam `eksctl` dokumentasi.

## Mengatur Mode Autentikasi Klaster
<a name="set-cam"></a>

Setiap cluster memiliki *mode otentikasi*. Mode otentikasi menentukan metode mana yang dapat Anda gunakan untuk mengizinkan prinsipal IAM mengakses objek Kubernetes di klaster Anda. Ada tiga mode otentikasi.

**penting**  
Setelah metode entri akses diaktifkan, itu tidak dapat dinonaktifkan.  
Jika `ConfigMap` metode ini tidak diaktifkan selama pembuatan cluster, itu tidak dapat diaktifkan nanti. Semua cluster yang dibuat sebelum pengenalan entri akses memiliki `ConfigMap` metode yang diaktifkan.  
Jika Anda menggunakan node hybrid dengan cluster Anda, Anda harus menggunakan mode otentikasi `API` atau `API_AND_CONFIG_MAP` cluster.

 **Bagian `aws-auth` `ConfigMap` dalam cluster**   
Ini adalah mode otentikasi asli untuk cluster Amazon EKS. Prinsipal IAM yang menciptakan cluster adalah pengguna awal yang dapat mengakses cluster dengan menggunakan`kubectl`. Pengguna awal harus menambahkan pengguna lain ke daftar di `aws-auth` `ConfigMap` dan menetapkan izin yang memengaruhi pengguna lain dalam cluster. Pengguna lain ini tidak dapat mengelola atau menghapus pengguna awal, karena tidak ada entri di `ConfigMap` to manage.

 **Baik entri `ConfigMap` dan akses**   
Dengan mode otentikasi ini, Anda dapat menggunakan kedua metode untuk menambahkan prinsip IAM ke cluster. Perhatikan bahwa setiap metode menyimpan entri terpisah; misalnya, jika Anda menambahkan entri akses dari AWS CLI, tidak `aws-auth` `ConfigMap` diperbarui.

 **Akses entri saja**   
Dengan mode otentikasi ini, Anda dapat menggunakan EKS API, AWS Command Line Interface, AWS SDKs, AWS CloudFormation, dan Konsol Manajemen AWS untuk mengelola akses ke cluster untuk prinsipal IAM.  
Setiap entri akses memiliki *tipe* dan Anda dapat menggunakan kombinasi *cakupan akses* untuk membatasi prinsipal ke namespace tertentu dan *kebijakan akses untuk menetapkan kebijakan* izin yang dapat digunakan kembali yang telah dikonfigurasi sebelumnya. Atau, Anda dapat menggunakan tipe STANDARD dan grup RBAC Kubernetes untuk menetapkan izin khusus.


| Mode autentikasi | Metode | 
| --- | --- | 
|   `ConfigMap`hanya (`CONFIG_MAP`)  |   `aws-auth` `ConfigMap`   | 
|  EKS API dan `ConfigMap` (`API_AND_CONFIG_MAP`)  |  mengakses entri di EKS API, Antarmuka Baris AWS Perintah AWS SDKs, AWS CloudFormation, dan Konsol Manajemen AWS `aws-auth` `ConfigMap`   | 
|  EKS API saja (`API`)  |  mengakses entri di EKS API, Antarmuka Baris AWS Perintah, AWS SDKs AWS CloudFormation, dan Konsol Manajemen AWS   | 

**catatan**  
Mode Otomatis Amazon EKS memerlukan entri Akses.