Modifica della modalità di autenticazione Creazione di voci di accesso Aggiornamento di voci di accesso Eliminazione di voci di accesso

Gestire le voci di accesso

Prerequisiti

Familiarità con le opzioni di accesso al cluster per il cluster Amazon EKS. Per ulteriori informazioni, consulta Concedi l'accesso alle Kubernetes API .

Un cluster Amazon EKS esistente. Per implementarne uno, consulta Guida introduttiva ad Amazon EKS. Per utilizzare le voci di accesso e cambiare la modalità di autenticazione di un cluster, il cluster deve avere una versione della piattaforma corrispondente o successiva a quella elencata nella tabella seguente o una versione di Kubernetes successiva a quelle elencate nella tabella.

Versione Kubernetes	Versione della piattaforma
`1.30`	`eks.2`
`1.29`	`eks.1`
`1.28`	`eks.6`
`1.27`	`eks.10`
`1.26`	`eks.11`
`1.25`	`eks.12`
`1.24`	`eks.15`
`1.23`	`eks.17`

È possibile verificare la versione corrente di Kubernetes e della piattaforma sostituendo my-cluster nel seguente comando con il nome del cluster e quindi eseguendo il comando modificato: aws eks describe-cluster --name my-cluster --query 'cluster.{"Kubernetes Version": version, "Platform Version": platformVersion}'.

Importante

Dopo che Amazon EKS ha aggiornato il cluster alla versione della piattaforma elencata nella tabella, Amazon EKS crea una voce di accesso con autorizzazioni di amministratore al cluster per il principale IAM che ha originariamente creato il cluster. Se non desideri che il principale IAM disponga delle autorizzazioni di amministratore per il cluster, rimuovi la voce di accesso creata da Amazon EKS.

Per i cluster con versioni della piattaforma precedenti a quelle elencate nella tabella precedente, il creatore del cluster è sempre un amministratore del cluster. Non è possibile rimuovere le autorizzazioni di amministratore del cluster dall'utente o dal ruolo IAM che ha creato il cluster.

Un principale IAM con le seguenti autorizzazioni per il cluster: CreateAccessEntry, ListAccessEntries, DescribeAccessEntry, DeleteAccessEntry e UpdateAccessEntry. Per ulteriori informazioni sulle autorizzazioni Amazon EKS, consulta Actions defined by Amazon Elastic Kubernetes Service nella Documentazione di riferimento per l'autorizzazione ai servizi.
Un principale IAM esistente per cui creare una voce di accesso o una voce di accesso esistente da aggiornare o eliminare.

Configurazione delle voci di accesso

Per iniziare a utilizzare le voci di accesso, è necessario modificare la modalità di autenticazione del cluster nelle modalità API_AND_CONFIG_MAP o API. Questa operazione aggiunge l'API per le voci di accesso.

AWS Management Console

Per creare una voce di accesso

Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.
Scegli il nome del cluster in cui desideri creare una voce di accesso.
Scegli la scheda Accesso.
Modalità di autenticazione mostra la modalità corrente di autenticazione del cluster. Se la modalità mostra EKS API, puoi già aggiungere voci di accesso e puoi saltare i passaggi rimanenti.
Scegli Gestisci accesso.
Per Modalità di autenticazione del cluster, seleziona una modalità con l'EKS API. Tieni presente che non puoi ripristinare la modalità di autenticazione in una modalità che rimuove EKS API e le voci di accesso.
Seleziona Salvataggio delle modifiche. Amazon EKS inizia ad aggiornare il cluster, lo stato del cluster cambia in Updating e la modifica viene registrata nella scheda Cronologia degli aggiornamenti.
Attendi che lo stato del cluster ritorni su Active. Quando il cluster è Active, puoi seguire i passaggi indicati in Creazione di voci di accesso per aggiungere l'accesso al cluster per i principali IAM.

AWS CLI

Prerequisito

L'ultima versione della AWS CLI v1 installata e configurata sul tuo dispositivo o. AWS CloudShell AWS CLI la v2 non supporta nuove funzionalità per alcuni giorni. È possibile verificare la versione corrente con aws --version | cut -d / -f2 | cut -d ' ' -f1. I programmi di gestione dei pacchetti, come yum, apt-get o Homebrew per macOS, spesso sono aggiornati a versioni precedenti della AWS CLI. Per installare la versione più recente, consulta Installazione, aggiornamento e disinstallazione AWS CLI e Configurazione rapida con aws configure nella Guida per l' AWS Command Line Interface utente. La AWS CLI versione installata in AWS CloudShell può anche contenere diverse versioni precedenti alla versione più recente. Per aggiornarla, consulta Installazione nella home directory nella Guida AWS CLI per l' AWS CloudShell utente.

Esegui il comando seguente. Sostituisci my-cluster con il nome del tuo cluster. Se desideri disabilitare il metodo ConfigMap in modo permanente, sostituisci API_AND_CONFIG_MAP con API.

Amazon EKS inizia ad aggiornare il cluster, lo stato del cluster cambia in UPDATING e la modifica viene registrata in aws eks list-updates.
```
aws eks update-cluster-config --name my-cluster --access-config authenticationMode=API_AND_CONFIG_MAP
```
Attendi che lo stato del cluster ritorni su Active. Quando il cluster è Active, puoi seguire i passaggi indicati in Creazione di voci di accesso per aggiungere l'accesso al cluster per i principali IAM.

Creazione di voci di accesso

Considerazioni

Prima di creare voci di accesso, considera quanto segue:

Una voce di accesso include il nome della risorsa Amazon (ARN) di un principale (e solo di uno) IAM esistente. Un principale IAM non può essere incluso in più di una voce di accesso. Considerazioni aggiuntive per l'ARN specificato:
- Le best practice IAM consigliano di accedere al cluster utilizzando ruoli IAM con credenziali a breve termine, anziché utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'utente IAM.
- Se l'ARN è per un ruolo IAM, può includere un percorso. Gli ARN nelle voci aws-auth ConfigMap, non possono includere un percorso. Ad esempio, il tuo ARN può essere arn:aws:iam::111122223333:role/development/apps/my-role o arn:aws:iam::111122223333:role/my-role.
- Se il tipo di voce di accesso è diverso da STANDARD (vedi la prossima considerazione sui tipi), l'ARN deve trovarsi nello stesso in Account AWS cui si trova il cluster. Se il tipo èSTANDARD, l'ARN può essere uguale o diverso dall'account in cui si trova il cluster. Account AWS
- Non è possibile modificare il principale IAM dopo aver creato la voce di accesso.
- Se elimini il principale IAM con questo ARN, la voce di accesso non viene eliminata automaticamente. Ti consigliamo di eliminare la voce di accesso con un ARN per un principale IAM che elimini. Se non cancelli la voce di accesso e in futuro ricrei il principale IAM, anche se ha lo stesso ARN, la voce di accesso non funzionerà. Questo perché, anche se l'ARN è lo stesso per il principale IAM ricreato, l'roleIDor userID (puoi vederlo con il aws sts get-caller-identity AWS CLI comando) è diverso per il principale IAM ricreato rispetto al principale IAM originale. Anche se non visualizzi il roleID o il userID del principale IAM per una voce di accesso, Amazon EKS lo memorizza insieme alla voce di accesso.
Ogni voce di accesso include un tipo. Puoi specificare EC2 Linux (per un ruolo IAM utilizzato con nodi autogestiti Linux o Bottlerocket), EC2 Windows (per un ruolo IAM utilizzato con nodi autogestiti Windows), FARGATE_LINUX (per un ruolo IAM utilizzato con AWS Fargate (Fargate)) o come tipo. STANDARD Se non specifichi un tipo, Amazon EKS lo imposta automaticamente su STANDARD. Non è necessario creare una voce di accesso per un ruolo IAM utilizzato per un gruppo di nodi gestiti o un profilo Fargate, in quanto Amazon EKS aggiunge voci per questi ruoli a aws-auth ConfigMap, indipendentemente dalla versione della piattaforma in cui si trova il cluster.

Non è possibile modificare il tipo dopo aver creato la voce di accesso.

Se il tipo di voce di accesso è STANDARD, puoi specificare un nome utente per la voce di accesso. Se non specifichi un valore per il nome utente, Amazon EKS assegnerà automaticamente uno dei valori seguenti, in funzione del tipo di voce di accesso e del principale IAM da te indicato, che si tratti di un ruolo IAM o di un utente IAM. A meno che tu non abbia un motivo particolare per specificare il tuo nome utente, consigliamo di non specificarne uno e di lasciare che Amazon EKS lo generi automaticamente. Se decidi di specificare il tuo nome utente:

Tieni presente che non può iniziare con system:, eks:, aws:, amazon: o iam:.
Se il nome utente è per un ruolo IAM, ti consigliamo di aggiungere {{SessionName}} alla fine del nome utente. Se lo aggiungi {{SessionName}} al tuo nome utente, il nome utente deve includere i due punti prima di {{}}. SessionName Quando si assume questo ruolo, il nome della sessione specificato quando si assume il ruolo viene passato automaticamente al cluster e verrà visualizzato nei CloudTrail log. Ad esempio, non puoi avere un nome utente del tipo john{{SessionName}}. Il nome utente deve essere :john{{SessionName}} o jo:hn{{SessionName}}. Solo i due punti devono essere prima di {{SessionName}}. Il nome utente generato da Amazon EKS nella tabella seguente include un ARN. Poiché un ARN include i due punti, soddisfa questo requisito. I due punti non sono obbligatori se non includi {{SessionName}} nel nome utente.

Il tipo di principale IAM	Type	Valore del nome utente che Amazon EKS imposta automaticamente
Utente	`STANDARD`	L'ARN dell'utente. Esempio: `arn:aws:iam::111122223333:user/my-user`
Ruolo	`STANDARD`	L'ARN STS del ruolo quando viene assunto. Amazon EKS aggiunge `{{SessionName}}` al ruolo. Esempio: `arn:aws:sts::111122223333:assumed-role/my-role/{{SessionName}}` Se l'ARN del ruolo che hai specificato conteneva un percorso, Amazon EKS lo rimuove nel nome utente generato.
Ruolo	`EC2 Linux` o `EC2 Windows`	`system:node:{{EC2PrivateDNSName}}`
Ruolo	`FARGATE_LINUX`	`system:node:{{SessionName}}`

Puoi modificare il nome utente dopo aver creato la voce di accesso.

Se il tipo di una voce di accesso è STANDARD e desideri utilizzare l'autorizzazione RBAC di Kubernetes, puoi aggiungere uno o più nomi dei gruppi alla voce di accesso. Dopo aver creato una voce di accesso, puoi aggiungere e rimuovere i nomi dei gruppi. Affinché il principale IAM abbia accesso agli oggetti Kubernetes sul cluster, è necessario creare e gestire oggetti del controllo degli accessi basato sui ruoli (RBAC) in Kubernetes. Crea RoleBinding di Kubernetes o oggetti ClusterRoleBinding sul tuo cluster che specifichino il nome del gruppo come subject per kind: Group. Kubernetes autorizza l'accesso per il principale IAM a tutti gli oggetti del cluster che hai specificato in un Role di Kubernetes o un oggetto ClusterRole che hai specificato anche nei roleRef delle tue associazioni. Se specifichi i nomi dei gruppi, ti consigliamo di acquisire familiarità con gli oggetti del controllo degli accessi basato sui ruoli (RBAC) in Kubernetes. Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di Kubernetes.

Importante
Amazon EKS non conferma che gli oggetti RBAC di Kubernetes esistenti sul cluster includano i nomi dei gruppi specificati.

Puoi collegare policy di accesso Amazon EKS a una voce di accesso, come alternativa o complemento all'autorizzazione concessa da Kubernetes al principale IAM per accedere agli oggetti Kubernetes sul tuo cluster. Amazon EKS autorizza i principali IAM ad accedere agli oggetti Kubernetes sul tuo cluster con le autorizzazioni previste dalla policy di accesso. Puoi definire l'ambito delle autorizzazioni di una policy di accesso agli spazi dei nomi di Kubernetes che specifichi. L'uso delle policy di accesso non richiede la gestione degli oggetti RBAC di Kubernetes. Per ulteriori informazioni, consulta Associazione e dissociazione delle policy di accesso alle/dalle voci di accesso.
Se crei una voce di accesso con tipo EC2 Linux o EC2 Windows, il principale IAM che crea la voce di accesso deve disporre dell'autorizzazione iam:PassRole. Per ulteriori informazioni, consulta Granting a user permissions to pass a role to an Servizio AWS nella Guida per l'utente IAM.
Analogamente al comportamento di IAM standard, la creazione e gli aggiornamenti delle voci di accesso alla fine sono coerenti e potrebbero essere necessari alcuni secondi prima che la chiamata API iniziale risulti completata con successo. È necessario progettare le applicazioni in modo da tenere in considerazione questi potenziali ritardi Si consiglia di non includere creazioni o aggiornamenti degli accessi nei percorsi critici e ad alta disponibilità del codice dell'applicazione. Al contrario, apportare modifiche in un'inizializzazione separata o in una routine di configurazione che si esegue meno frequentemente. Inoltre, assicurarsi di verificare che le modifiche siano state propagate prima che i flussi di lavoro di produzione dipendano da esse.
Le voci di accesso non supportano i ruoli collegati al servizio. Non è possibile creare voci di accesso in cui l'ARN principale è un ruolo collegato al servizio. È possibile identificare i ruoli collegati al servizio in base al relativo ARN, che è nel formato. arn:aws:iam::*:role/aws-service-role/*

È possibile creare una voce di accesso utilizzando AWS Management Console o il AWS CLI.

AWS Management Console

Per creare una voce di accesso

Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.
Scegli il nome del cluster in cui desideri creare una voce di accesso.
Scegli la scheda Accesso.
Seleziona Crea voce di accesso.
Per Principale IAM, seleziona un ruolo o un utente IAM esistente. Le best practice IAM consigliano di accedere al cluster utilizzando ruoli IAM con credenziali a breve termine, anziché utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'utente IAM.
Per Tipo, se la voce di accesso è per il ruolo del nodo utilizzato per i nodi Amazon EC2 autogestiti, seleziona EC2 Linux o EC2 Windows. Altrimenti, accetta l'impostazione predefinita (Standard).
Se il Tipo che hai scelto è Standard e desideri specificare un Nome utente, inserisci il nome utente.
Se il Tipo che hai scelto è Standard e desideri utilizzare l'autorizzazione RBAC di Kubernetes per il principale IAM, specifica uno o più nomi per i Gruppi. Se non specifichi nomi dei gruppi e desideri utilizzare l'autorizzazione Amazon EKS, puoi associare una policy di accesso in un passaggio successivo o dopo la creazione della voce di accesso.
(Facoltativo) Per Tag, assegna etichette alla voce di accesso. Ad esempio, per facilitare la ricerca di tutte le risorse con lo stesso tag.
Seleziona Successivo.
Nella pagina Aggiungi policy di accesso, se il tipo che hai scelto era Standard e desideri che Amazon EKS autorizzi il principale IAM a disporre delle autorizzazioni per gli oggetti Kubernetes sul tuo cluster, completa i seguenti passaggi. Altrimenti, scegli Next (Successivo).
1. Per Nome della policy, scegli una policy di accesso. Non puoi visualizzare le autorizzazioni delle policy di accesso, tuttavia includono autorizzazioni simili a quelle degli oggetti ClusterRole di Kubernetes rivolti all'utente. Per ulteriori informazioni, consulta User-facing roles nella documentazione di Kubernetes.
2. Selezionare una delle seguenti opzioni:
  - Cluster: scegli questa opzione se desideri che Amazon EKS autorizzi il principale IAM a disporre delle autorizzazioni nella policy di accesso per tutti gli oggetti Kubernetes sul tuo cluster.
  - Spazio dei nomi Kubernetes: scegli questa opzione se desideri che Amazon EKS autorizzi il principale IAM a disporre delle autorizzazioni nella policy di accesso per tutti gli oggetti Kubernetes in uno spazio dei nomi Kubernetes specifico sul tuo cluster. Per Spazio dei nomi, inserisci il nome dello spazio dei nomi Kubernetes sul tuo cluster. Se desideri aggiungere altri spazi dei nomi, scegli Aggiungi nuovo spazio dei nomi e inserisci il nome dello spazio dei nomi.
3. Se desideri aggiungere ulteriori policy, scegli Aggiungi policy. Puoi definire l'ambito di ciascuna policy in modo diverso, ma puoi aggiungere ogni policy solo una volta.
4. Seleziona Successivo.
Verifica la configurazione per la tua voce di accesso. Se noti qualcosa di errato, scegli Precedente per tornare indietro e correggere l'errore. Se la configurazione è corretta, scegli Crea.

AWS CLI

Prerequisito

Per creare una voce di accesso

Per creare voci di accesso è possibile utilizzare uno qualsiasi degli esempi seguenti:

Crea una voce di accesso per un gruppo di nodi Amazon EC2 Linux autogestito. Sostituisci my-cluster con il nome del cluster, 111122223333 con il tuo Account AWS ID e EKS-My-Cluster-Self-Managed-NG-1 con il nome del ruolo IAM del tuo nodo. Nel caso in cui il tuo gruppo di nodi operi su Windows, sostituisci EC2_Linux con EC2_Windows.
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1 --type EC2_Linux
```
Non puoi utilizzare l'opzione --kubernetes-groups quando specifichi un tipo diverso da STANDARD. Non puoi associare una policy di accesso a questa voce di accesso, perché il suo tipo è un valore diverso da STANDARD.
Crea una voce di accesso che permetta a un ruolo IAM, non utilizzato per un gruppo di nodi autogestiti di Amazon EC2, di essere autorizzato da Kubernetes per accedere al tuo cluster. Sostituisci my-cluster con il nome del tuo cluster, 111122223333 con il tuo ID e my-role con il nome del tuo ruolo IAM. Account AWS Sostituisci Visualizzatori con il nome di un gruppo che hai specificato in un oggetto ClusterRoleBinding o RoleBinding di Kubernetes sul tuo cluster.
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role --type STANDARD --user Viewers --kubernetes-groups Viewers
```
Crea una voce di accesso che consenta a un utente IAM di autenticarsi nel tuo cluster. Questo esempio viene fornito perché è possibile, anche se le best practice IAM consigliano di accedere al cluster utilizzando ruoli IAM con credenziali a breve termine, anziché utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida per l'utente IAM.
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:user/my-user --type STANDARD --username my-user
```
Se desideri che questo utente abbia un accesso al tuo cluster maggiore rispetto alle autorizzazioni nei ruoli di rilevamento delle API Kubernetes, è necessario associare una policy di accesso alla voce di accesso, poiché l'opzione --kubernetes-groups non viene utilizzata. Per ulteriori informazioni, consulta Associazione e dissociazione delle policy di accesso alle/dalle voci di accesso e API discovery roles nella documentazione di Kubernetes.

Aggiornamento di voci di accesso

È possibile aggiornare una voce di accesso utilizzando AWS Management Console o il AWS CLI.

AWS Management Console

Per aggiornare una voce di accesso

Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.
Scegli il nome del cluster in cui desideri creare una voce di accesso.
Scegli la scheda Accesso.
Scegli la voce di accesso che desideri aggiornare.
Scegli Modifica.
Per Nome utente, puoi modificare il valore esistente.
Per Gruppi, puoi rimuovere i nomi dei gruppi esistenti o aggiungere nuovi nomi dei gruppi. Se esistono i seguenti nomi di gruppi, non rimuoverli: system:nodes o system:bootstrappers. La rimozione di questi gruppi può causare un malfunzionamento del cluster. Se non specifichi nomi dei gruppi e desideri utilizzare l'autorizzazione Amazon EKS, associa una policy di accesso in un passaggio successivo.
Per Tag, puoi assegnare etichette alla voce di accesso. Ad esempio, per facilitare la ricerca di tutte le risorse con lo stesso tag. Puoi anche rimuovere i tag esistenti.
Seleziona Salvataggio delle modifiche.
Se desideri associare una policy di accesso alla voce, consulta la sezione Associazione e dissociazione delle policy di accesso alle/dalle voci di accesso.

AWS CLI

Prerequisito

Versione 2.12.3 o successiva o versione 1.27.160 o successiva di AWS Command Line Interface (AWS CLI) installato e configurato sul dispositivo o AWS CloudShell. Per verificare la versione attuale, usa aws --version | cut -d / -f2 | cut -d ' ' -f1. I programmi di gestione dei pacchetti, come yum, apt-get o Homebrew per macOS, spesso sono aggiornati a versioni precedenti della AWS CLI. Per installare la versione più recente, consulta le sezioni Installazione, aggiornamento e disinstallazione della AWS CLI e Configurazione rapida con aws configure nella Guida per l'utente dell'AWS Command Line Interface . La AWS CLI versione installata in AWS CloudShell potrebbe anche contenere diverse versioni precedenti alla versione più recente. Per aggiornarla, consulta Installazione nella tua home directory nella Guida AWS CLI per l'AWS CloudShell utente.

Per aggiornare una voce di accesso

Sostituisci my-cluster con il nome del cluster, 111122223333 con il tuo Account AWS ID e EKS-My-Cluster-My-Namespace-Viewers con il nome di un ruolo IAM.


aws eks update-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --kubernetes-groups Viewers

Non è possibile utilizzare l'opzione --kubernetes-groups se il tipo di voce di accesso è un valore diverso da STANDARD. Inoltre, non è possibile associare una policy di accesso a una voce di accesso con un tipo diverso da STANDARD.

Eliminazione di voci di accesso

Se scopri di aver eliminato una voce di accesso per errore, puoi sempre ricrearla. Se la voce di accesso che stai eliminando è associata a policy di accesso, le associazioni vengono eliminate automaticamente. Non è necessario dissociare le policy di accesso da una voce di accesso prima di eliminare quest'ultima.

È possibile eliminare AWS Management Console AWS CLI una voce di accesso utilizzando o il.

AWS Management Console

Per eliminare una voce di accesso

Apri la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.
Scegli il nome del cluster da cui desideri eliminare una voce di accesso.
Scegli la scheda Accesso.
Nell'elenco Voci di accesso, seleziona la voce di accesso da eliminare.
Scegli Elimina.
Nella finestra di dialogo di conferma, seleziona Elimina.

AWS CLI

Prerequisito

Per eliminare una voce di accesso

Sostituisci my-cluster con il nome del tuo cluster, 111122223333 con il tuo Account AWS ID e my-role con il nome del ruolo IAM a cui non desideri più avere accesso al tuo cluster.


aws eks delete-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concedi l'accesso alle API Kubernetes

Associa politiche di accesso