Concedi a IAM utenti e ruoli l'accesso a Kubernetes APIs - Amazon EKS
Associa IAM le identità alle autorizzazioni KubernetesImposta la modalità di autenticazione del cluster

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concedi a IAM utenti e ruoli l'accesso a Kubernetes APIs

Il tuo cluster ha un Kubernetes APIendpoint. Kubectl lo usa. API Puoi autenticarti API utilizzando due tipi di identità:

  • Un principale (ruolo o utenteIAM) di AWS Identity and Access Management (): questo tipo richiede l'autenticazione perIAM. Gli utenti possono accedere AWS come IAMutente o con un'identità federata utilizzando le credenziali fornite tramite un'origine di identità. Gli utenti possono accedere con un'identità federata solo se l'amministratore ha precedentemente configurato la federazione delle identità utilizzando i ruoli. IAM Quando gli utenti accedono AWS utilizzando la federazione, assumono indirettamente un ruolo. Quando gli utenti utilizzano questo tipo di identità:

    • Può assegnarli Kubernetes autorizzazioni con cui possono lavorare Kubernetes oggetti sul tuo cluster. Per ulteriori informazioni su come assegnare le autorizzazioni ai IAM principali in modo che possano accedere Kubernetes oggetti sul tuo cluster, vedi. Grant IAM accesso degli utenti a Kubernetes con voci di EKS accesso

    • Puoi assegnare loro IAM le autorizzazioni in modo che possano lavorare con il tuo EKS cluster Amazon e le sue risorse utilizzando Amazon EKSAPI,, AWS CLI AWS CloudFormation AWS Management Console, or. eksctl Per ulteriori informazioni, consulta Actions defined by Amazon Elastic Kubernetes Service nella Documentazione di riferimento per l'autorizzazione ai servizi.

    • I nodi si uniscono al cluster assumendo un ruolo. IAM La possibilità di accedere al cluster utilizzando IAM i principali è fornita dall'AWS IAMAuthenticator for Kubernetes, che funziona sul piano di controllo di Amazon. EKS

  • Un utente tutto tuo OpenID Connect (OIDC) provider: questo tipo richiede l'autenticazione del OIDCprovider. Per ulteriori informazioni sulla configurazione del proprio OIDC provider con il tuo EKS cluster Amazon, vediConcedi agli utenti l'accesso a Kubernetes con un esterno OIDC provider. Quando gli utenti utilizzano questo tipo di identità:

    • Può assegnarli Kubernetes autorizzazioni con cui possono lavorare Kubernetes oggetti sul tuo cluster.

    • Non puoi assegnare loro IAM le autorizzazioni in modo che possano lavorare con il tuo EKS cluster Amazon e le sue risorse utilizzando Amazon EKSAPI,, AWS CLI AWS CloudFormation AWS Management Console, or. eksctl

Puoi utilizzare entrambi i tipi di identità con il tuo cluster. Il metodo di IAM autenticazione non può essere disabilitato. Il metodo OIDC di autenticazione è facoltativo.

Associa IAM le identità alle autorizzazioni Kubernetes

L'AWS IAMAuthenticator for Kubernetes è installato sul piano di controllo del cluster. Abilita i principi (ruoli e utentiIAM) di AWS Identity and Access Management () a cui consenti l'accesso Kubernetes risorse sul tuo cluster. Puoi consentire ai IAM presidi di accedere Kubernetes oggetti sul cluster utilizzando uno dei seguenti metodi:

  • Creazione di voci di accesso: se la versione del cluster è uguale o successiva alla versione della piattaforma elencata nella sezione Prerequisiti relativa al cluster Kubernetes versione, ti consigliamo di utilizzare questa opzione.

    Utilizza le voci di accesso per gestire il Kubernetes autorizzazioni dei IAM responsabili esterni al cluster. È possibile aggiungere e gestire l'accesso al cluster utilizzando l'interfaccia a riga di AWS comando EKS API AWS SDKs AWS CloudFormation, e. AWS Management Console Ciò significa che puoi gestire gli utenti con gli stessi strumenti con cui hai creato il cluster.

    Per iniziare, segui Cambia la modalità di autenticazione per utilizzare le voci di accesso, quindi Migrazione delle voci aws-auth esistenti alle ConfigMap voci di accesso.

  • Aggiungere voci a aws-authConfigMap: se la versione della piattaforma del cluster è precedente alla versione elencata nella sezione Prerequisiti, è necessario utilizzare questa opzione. Se la versione della piattaforma del cluster è uguale o successiva alla versione della piattaforma elencata nella sezione Prerequisiti relativa al cluster Kubernetes versione e hai aggiunto voci aConfigMap, ti consigliamo di migrare tali voci per accedere alle voci. ConfigMapTuttavia, non puoi migrare le voci che Amazon EKS ha aggiunto, come le voci per IAM i ruoli utilizzati con gruppi di nodi gestiti o i profili Fargate. Per ulteriori informazioni, consulta Concedi a IAM utenti e ruoli l'accesso a Kubernetes APIs.

    • Se è necessario utilizzare l'opzione aws-auth ConfigMap, è possibile aggiungere voci a ConfigMap utilizzando il comando eksctl create iamidentitymapping. Per ulteriori informazioni, consulta Gestire IAM utenti e ruoli nella eksctl documentazione.

Imposta la modalità di autenticazione del cluster

Ogni cluster dispone di una modalità di autenticazione. La modalità di autenticazione determina quali metodi è possibile utilizzare per consentire l'accesso IAM ai principali Kubernetes oggetti sul cluster. Sono disponibili tre modalità di autenticazione.

Importante

Una volta abilitato, il metodo di immissione dell'accesso non può essere disabilitato.

Se il ConfigMap metodo non è abilitato durante la creazione del cluster, non può essere abilitato in seguito. Tutti i cluster creati prima dell'introduzione delle voci di accesso hanno il ConfigMap metodo abilitato.

Se si utilizzano nodi ibridi con il cluster, è necessario utilizzare le modalità di autenticazione API o API_AND_CONFIG_MAP cluster.

L'aws-authConfigMapinterno del cluster

Questa è la modalità di autenticazione originale per EKS i cluster Amazon. Il IAM principale che ha creato il cluster è l'utente iniziale che può accedere al cluster utilizzandokubectl. L'utente iniziale deve aggiungere altri utenti all'elenco in aws-auth ConfigMap e assegnare autorizzazioni che influiscono sugli altri utenti all'interno del cluster. Questi altri utenti non possono gestire o rimuovere l'utente iniziale, poiché non c'è una voce ConfigMap da gestire.

Sia le ConfigMap voci di accesso che quelle di accesso

Con questa modalità di autenticazione, è possibile utilizzare entrambi i metodi per aggiungere IAM principali al cluster. Si noti che ogni metodo memorizza voci separate; ad esempio, se si aggiunge una voce di accesso da AWS CLI, non aws-auth ConfigMap viene aggiornata.

Accedi solo alle voci

Con questa modalità di autenticazione, è possibile utilizzare l'EKSAPIinterfaccia a riga di AWS comando e AWS Management Console gestire l'accesso al cluster per IAM i principali. AWS SDKs AWS CloudFormation

Ogni voce di accesso include un tipo, che consente di utilizzare la combinazione di un ambito di accesso per limitare il principale a uno spazio dei nomi specifico e una policy di accesso per definire policy di autorizzazione riutilizzabili preconfigurate. In alternativa, è possibile utilizzare il STANDARD digitare e Kubernetes RBAC gruppi per assegnare autorizzazioni personalizzate.

Modalità di autenticazione Metodi

Solo ConfigMap (CONFIG_MAP)

aws-auth ConfigMap

EKSAPIe ConfigMap () API_AND_CONFIG_MAP

accedere alle voci in EKSAPI, AWS Command Line Interface AWS SDKs, AWS CloudFormation, e AWS Management Console e aws-auth ConfigMap

EKSAPIsolo (API)

accedere alle voci in EKSAPI, AWS Command Line Interface AWS SDKs, AWS CloudFormation, e AWS Management Console

Nota

La modalità Amazon EKS Auto richiede voci di accesso.