

 **Contribuisci a migliorare questa pagina** 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs
<a name="grant-k8s-access"></a>

Il tuo cluster dispone di un endpoint dell’API Kubernetes. Kubectl utilizza questa API. Puoi autenticarti su questa API usando due tipi di identità:
+  **Un principale (ruolo o utente) di AWS Identity and Access Management (IAM***): questo tipo richiede l'autenticazione su IAM.* Gli utenti possono accedere AWS come utenti [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) o con un'[identità federata](https://aws.amazon.com/identity/federation/) utilizzando le credenziali fornite tramite una fonte di identità. Gli utenti possono accedere solo con un’identità federata se l’amministratore ha configurato in precedenza la federazione delle identità utilizzando i ruoli IAM. Quando gli utenti accedono AWS utilizzando la federazione, [assumono](https://docs.aws.amazon.com/IAM/latest/UserGuide/when-to-use-iam.html#security-iam-authentication-iamrole) indirettamente un ruolo. Quando gli utenti utilizzano questo tipo di identità:
  + Puoi assegnare loro autorizzazioni Kubernetes in modo che possano lavorare con gli oggetti Kubernetes sul tuo cluster. Per ulteriori informazioni su come assegnare le autorizzazioni ai principali IAM in modo che possano accedere agli oggetti Kubernetes sul cluster, consulta la sezione [Concedere agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS](access-entries.md).
  + Puoi assegnare loro le autorizzazioni IAM in modo che possano lavorare con il tuo cluster Amazon EKS e le sue risorse utilizzando l'API Amazon EKS, la AWS CLI,, AWS CloudFormation o. Console di gestione AWS`eksctl` Per ulteriori informazioni, consulta [Actions defined by Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions) nella Documentazione di riferimento per l’autorizzazione ai servizi.
  + I nodi si aggiungono al cluster assumendo un ruolo IAM. La capacità di accedere al cluster utilizzando i principali (IAM) è abilitata dall’[autenticatore AWS IAM per Kubernetes](https://github.com/kubernetes-sigs/aws-iam-authenticator#readme), che viene eseguito sul piano di controllo di Amazon EKS.
+  **Un utente del tuo provider OpenID Connect (OIDC)**: questo tipo richiede l’autenticazione al tuo provider [OIDC](https://openid.net/connect/). Per ulteriori informazioni sulla configurazione del provider OIDC con il cluster Amazon EKS, consulta [Concedere agli utenti l’accesso a Kubernetes con un provider OIDC esterno](authenticate-oidc-identity-provider.md). Quando gli utenti utilizzano questo tipo di identità:
  + Puoi assegnare loro autorizzazioni Kubernetes in modo che possano lavorare con gli oggetti Kubernetes sul tuo cluster.
  + Non puoi assegnare loro autorizzazioni IAM in modo che possano lavorare con il tuo cluster Amazon EKS e le sue risorse utilizzando l'API Amazon EKS, la AWS CLI,, AWS CloudFormation o. Console di gestione AWS`eksctl`

Puoi utilizzare entrambi i tipi di identità con il tuo cluster. Il metodo di autenticazione IAM non può essere disabilitato. Il metodo di autenticazione OIDC è facoltativo.

## Associa le identità IAM alle autorizzazioni Kubernetes
<a name="authentication-modes"></a>

L’[Autenticatore AWS IAM per Kubernetes](https://github.com/kubernetes-sigs/aws-iam-authenticator#readme) è installato sul piano di controllo del tuo cluster. Abilita i principali [AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) (ruoli e utenti) a cui consenti di accedere alle risorse Kubernetes sul tuo cluster. Puoi consentire ai principali IAM di accedere agli oggetti Kubernetes sul tuo cluster utilizzando uno dei metodi seguenti:
+  **Creazione di voci di accesso**: se la versione del cluster corrisponde o è successiva alla versione della piattaforma elencata nella sezione [Prerequisiti](access-entries.md) per la versione del cluster, ti consigliamo di utilizzare questa opzione.

  Utilizza le *voci di accesso* per gestire le autorizzazioni Kubernetes dei principali IAM dall’esterno del cluster. Puoi aggiungere e gestire l'accesso al cluster utilizzando l'API EKS, l'interfaccia a riga di AWS comando e AWS SDKs. AWS CloudFormation Console di gestione AWS Ciò significa che puoi gestire gli utenti con gli stessi strumenti con cui hai creato il cluster.

  Per iniziare, segui [Cambia la modalità di autenticazione per utilizzare le voci di accesso](setting-up-access-entries.md), quindi [Migrazione delle voci aws-auth esistenti alle ConfigMap voci](migrating-access-entries.md) di accesso.
+  **Aggiunta di voci a `aws-auth` `ConfigMap`**: se la versione della piattaforma del cluster è precedente alla versione elencata nella sezione [Prerequisiti](access-entries.md), è necessario utilizzare questa opzione. Se la versione della piattaforma del cluster corrisponde o è successiva a quella elencata nella sezione [Prerequisiti](access-entries.md) per la versione di Kubernetes del cluster e hai aggiunto delle voci a `ConfigMap`, ti consigliamo di eseguire la migrazione di tali voci per potervi accedere. Tuttavia, non puoi migrare le voci aggiunte da Amazon EKS a `ConfigMap`, come le voci per i ruoli IAM utilizzati con gruppi di nodi gestiti o profili Fargate. Per ulteriori informazioni, consulta [Concedi agli utenti e ai ruoli IAM l'accesso a Kubernetes APIs](#grant-k8s-access).
  + Se è necessario utilizzare l’opzione `aws-auth` `ConfigMap`, è possibile aggiungere voci a `ConfigMap` utilizzando il comando `eksctl create iamidentitymapping`. Per ulteriori informazioni, consulta [Manage IAM users and roles](https://eksctl.io/usage/iam-identity-mappings/) nella documentazione di `eksctl`.

## Set Cluster Authentication Mode
<a name="set-cam"></a>

Ogni cluster dispone di una *modalità di autenticazione*. La modalità di autenticazione determina quali metodi è possibile utilizzare per consentire ai principali IAM di accedere agli oggetti Kubernetes sul cluster. Sono disponibili tre modalità di autenticazione.

**Importante**  
Una volta abilitato, il metodo di immissione dell’accesso non può essere disabilitato.  
Se il metodo `ConfigMap` non è abilitato durante la creazione del cluster, non può essere abilitato in seguito. Tutti i cluster creati prima dell’introduzione delle voci di accesso hanno il metodo `ConfigMap` abilitato.  
Se si utilizzano nodi ibridi con il cluster, è necessario utilizzare le modalità di autenticazione del cluster `API` o `API_AND_CONFIG_MAP`.

 **Il `aws-auth` `ConfigMap` all’interno del cluster**   
Questa è la modalità di autenticazione originale per i cluster Amazon EKS. Il principale IAM che ha creato il cluster è l’utente iniziale che può accedere al cluster utilizzando `kubectl`. L’utente iniziale deve aggiungere altri utenti all’elenco in `aws-auth` `ConfigMap` e assegnare autorizzazioni che influiscono sugli altri utenti all’interno del cluster. Questi altri utenti non possono gestire o rimuovere l’utente iniziale, poiché non c’è una voce da gestire in `ConfigMap`.

 **Sia le voci di accesso che quelle di accesso `ConfigMap`**   
Con questa modalità di autenticazione, è possibile utilizzare entrambi i metodi per aggiungere i principali IAM al cluster. Si noti che ogni metodo memorizza voci separate; ad esempio, se si aggiunge una voce di accesso dalla AWS CLI, non `aws-auth` `ConfigMap` viene aggiornata.

 **Accedi solo alle voci**   
Con questa modalità di autenticazione, puoi utilizzare l'API EKS, l'interfaccia Console di gestione AWS a riga di AWS comando e gestire l'accesso al cluster per i principali IAM. AWS SDKs AWS CloudFormation  
Ogni voce di accesso include un *tipo*, che consente di utilizzare la combinazione di un *ambito di accesso* per limitare il principale a un namespace specifico e una *policy di accesso* per definire policy di autorizzazione riutilizzabili preconfigurate. In alternativa, è possibile utilizzare il tipo STANDARD e i gruppi Kubernetes RBAC per assegnare autorizzazioni personalizzate.


| Modalità di autenticazione | Metodi | 
| --- | --- | 
|   Solo `ConfigMap` (`CONFIG_MAP`)  |   `aws-auth` `ConfigMap`   | 
|  API EKS e `ConfigMap` (`API_AND_CONFIG_MAP`)  |  accedere alle voci nell'API EKS, AWS nell'interfaccia a riga di comando AWS SDKs AWS CloudFormation, e e Console di gestione AWS `aws-auth` `ConfigMap`   | 
|  Solo API EKS (`API`)  |  accedere alle voci nell'API EKS, AWS nell'interfaccia a riga di comando AWS SDKs, AWS CloudFormation, e Console di gestione AWS   | 

**Nota**  
La modalità automatica di Amazon EKS richiede le voci di accesso.