Conceder acesso para visualizar os recursos do cluster Kubernetes em um console do Amazon EKS - Amazon EKS

Conceder acesso para visualizar os recursos do cluster Kubernetes em um console do Amazon EKS

Conceda às entidades principais do IAM acesso ao console do Amazon EKS para visualizar informações sobre recursos do Kubernetes em execução no cluster conectado.

Pré-requisitos

A entidade principal do IAM que você usa para acessar o AWS Management Console deve atender aos seguintes requisitos:

  • Você deve ter a permissão eks:AccessKubernetesApi do IAM.

  • A conta do Amazon EKS Connector Service pode representar o IAM ou a entidade principal no cluster. Isso permite que o Amazon EKS Connector mapeie o usuário ou a entidade principal do IAM para um usuário do Kubernetes.

Para criar e aplicar a função de cluster do Amazon EKS Connector

  1. Baixe o modelo de função do cluster do eks-connector.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. Edite o arquivo YAML do template de função de cluster. Substitua as referências de %IAM_ARN% pelo nome do recurso da Amazon (ARN) da entidade principal do IAM.

  3. Aplique o YAML da função do cluster do Amazon EKS Connector ao cluster do Kubernetes.

    kubectl apply -f eks-connector-clusterrole.yaml

Para que uma entidade principal do IAM visualize recursos do Kubernetes no console do Amazon EKS, ela deve estar associada a um Kubernetes, role ou clusterrole com as permissões necessárias para ler os recursos. Para mais informações, consulte Using RBAC Authorization (Usar autorização RBAC) na documentação do Kubernetes.

Para configurar um entidade principal do IAM para acessar o cluster conectado

  1. Você pode baixar um desses dois exemplos de arquivo de manifesto para criar um clusterrole e clusterrolebinding ou um role e rolebinding, respectivamente:

    Visualizar recursos do Kubernetes em todos os namespaces
    • O perfil do cluster eks-connector-console-dashboard-full-access-clusterrole dá acesso a todos os namespaces e recursos que podem ser visualizados no console. Você pode alterar o nome da role, clusterrole e sua respectiva vinculação antes de aplicar ao cluster. Use o seguinte comando para baixar um exemplo de arquivo.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    Visualizar recursos do Kubernetes em um namespace específico
    • O namespace desse arquivo é default. Então, se quiser especificar um namespace diferente, edite o arquivo antes de aplicá-lo ao cluster. Use o seguinte comando para baixar um exemplo de arquivo.

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. Edite o arquivo YAML de acesso total ou restrito para substituir as referências de %IAM_ARN% pelo nome do recurso da Amazon (ARN) da entidade principal do IAM.

  3. Aplique os arquivos YAML de acesso total ou de acesso restrito ao cluster do Kubernetes. Substitua os valores do arquivo YAML por seus próprios valores.

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

Para ver recursos do Kubernetes no cluster conectado, consulte Visualize os recursos do Kubernetes na seção AWS Management Console. Dados para alguns tipos de recursos na guia Recursos não estão disponível para clusters conectados.