Conceder acesso para visualizar os recursos do cluster Kubernetes em um console do Amazon EKS
Conceda às entidades principais do IAM acesso ao console do Amazon EKS para visualizar informações sobre recursos do Kubernetes em execução no cluster conectado.
Pré-requisitos
A entidade principal do IAM que você usa para acessar o AWS Management Console deve atender aos seguintes requisitos:
-
Você deve ter a permissão
eks:AccessKubernetesApi
do IAM. -
A conta do Amazon EKS Connector Service pode representar o IAM ou a entidade principal no cluster. Isso permite que o Amazon EKS Connector mapeie o usuário ou a entidade principal do IAM para um usuário do Kubernetes.
Para criar e aplicar a função de cluster do Amazon EKS Connector
-
Baixe o modelo de função do cluster do
eks-connector
.curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
-
Edite o arquivo YAML do template de função de cluster. Substitua as referências de
%IAM_ARN%
pelo nome do recurso da Amazon (ARN) da entidade principal do IAM. -
Aplique o YAML da função do cluster do Amazon EKS Connector ao cluster do Kubernetes.
kubectl apply -f eks-connector-clusterrole.yaml
Para que uma entidade principal do IAM visualize recursos do Kubernetes no console do Amazon EKS, ela deve estar associada a um Kubernetes, role
ou clusterrole
com as permissões necessárias para ler os recursos. Para mais informações, consulte Using RBAC Authorization
Para configurar um entidade principal do IAM para acessar o cluster conectado
-
Você pode baixar um desses dois exemplos de arquivo de manifesto para criar um
clusterrole
eclusterrolebinding
ou umrole
erolebinding
, respectivamente:- Visualizar recursos do Kubernetes em todos os namespaces
-
-
O perfil do cluster
eks-connector-console-dashboard-full-access-clusterrole
dá acesso a todos os namespaces e recursos que podem ser visualizados no console. Você pode alterar o nome darole
,clusterrole
e sua respectiva vinculação antes de aplicar ao cluster. Use o seguinte comando para baixar um exemplo de arquivo.curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
-
- Visualizar recursos do Kubernetes em um namespace específico
-
-
O namespace desse arquivo é
default
. Então, se quiser especificar um namespace diferente, edite o arquivo antes de aplicá-lo ao cluster. Use o seguinte comando para baixar um exemplo de arquivo.curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
-
-
Edite o arquivo YAML de acesso total ou restrito para substituir as referências de
%IAM_ARN%
pelo nome do recurso da Amazon (ARN) da entidade principal do IAM. -
Aplique os arquivos YAML de acesso total ou de acesso restrito ao cluster do Kubernetes. Substitua os valores do arquivo YAML por seus próprios valores.
kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml
Para ver recursos do Kubernetes no cluster conectado, consulte Visualize os recursos do Kubernetes na seção AWS Management Console. Dados para alguns tipos de recursos na guia Recursos não estão disponível para clusters conectados.