Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS - Amazon EKS

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Escolha o link Editar esta página no GitHub, disponível no painel direito de cada página. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS

O que são as entradas de acesso do EKS?

As entradas de acesso do EKS são a maneira mais eficiente de conceder aos usuários o acesso à API do Kubernetes. Por exemplo, você pode usar as entradas de acesso para conceder aos desenvolvedores acesso para usar o kubectl.

De maneira geral, uma entrada de acesso do EKS associa um conjunto de permissões do Kubernetes com uma identidade do IAM, como um perfil do IAM. Por exemplo, um desenvolvedor pode assumir um perfil do IAM e usá-lo para se autenticar em um cluster do EKS.

Você pode conceder permissões do Kubernetes às entradas de acesso de duas maneiras:

  • Use uma política de acesso. As políticas de acesso são modelos de permissões do Kubernetes definidos previamente e mantidos pela AWS. Para ter mais informações, consulte Analisar permissões da política de acesso.

  • Referencie um grupo do Kubernetes. Se você associar uma identidade do IAM a um grupo do Kubernetes, será possível criar recursos do Kubernetes que concedem permissões ao grupo. Para mais informações, consulte Usando a autorização de RBAC na documentação do Kubernetes.

Vantagens

O gerenciamento de acesso ao cluster do Amazon EKS possibilita controlar a autenticação e a autorização para seus clusters do Kubernetes diretamente por meio das APIs do Amazon EKS. Esse recurso simplifica o gerenciamento de acesso, eliminando a necessidade de alternar entre as APIs da AWS e do Kubernetes ao gerenciar as permissões de usuários. Com as entradas de acesso e as políticas de acesso, você pode definir permissões granulares para as entidades principais do IAM da AWS, incluindo a capacidade de modificar ou de revogar as permissões de administrador de cluster do criador do cluster.

O recurso se integra com ferramentas de infraestrutura como código (IaC), como o AWS CloudFormation, o Terraform e o AWS CDK, permitindo definir configurações de acesso durante a criação do cluster. Caso ocorram erros de configuração, é possível restaurar o acesso ao cluster por meio da API do Amazon EKS, sem a necessidade de requerer acesso direto à API do Kubernetes. Essa abordagem centralizada reduz a sobrecarga operacional e aprimora a segurança ao aproveitar as funcionalidades existentes do AWS IAM, como o registro em log da auditoria do CloudTrail e a autenticação multifator.

Comece agora

  1. Determine a identidade do IAM e a política de acesso que você deseja usar.

  2. Habilite as entradas de acesso do EKS no seu cluster. Confirme se você tem uma versão da plataforma compatível.

  3. Crie uma entrada de acesso que associe uma identidade do IAM com permissões do Kubernetes.

  4. Realize a autenticação no cluster usando a identidade do IAM.

Configuração de acesso ao cluster legado

Quando você habilita as entradas de acesso do EKS em clusters criados antes da introdução desse recurso (ou seja, em clusters com versões da plataforma iniciais que são anteriores às especificadas nos requisitos de versão da plataforma), o EKS cria automaticamente uma entrada de acesso que reflete as permissões existentes previamente. Essa entrada de acesso mostra:

  • A identidade do IAM que originalmente criou o cluster

  • As permissões administrativas concedidas a essa identidade durante a criação do cluster

nota

Anteriormente, esse acesso administrativo era concedido automaticamente e não podia ser modificado. Agora, com as entradas de acesso do EKS habilitadas, é possível visualizar e excluir essa configuração de acesso legada.