帮助改进此页面
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。
什么是 EKS 访问条目?
EKS 访问条目是向用户授予 Kubernetes API 访问权限的最佳方式。例如,您可以使用访问条目向开发人员授予使用 kubectl 的权限。
从根本上讲,EKS 访问条目会将一组 Kubernetes 权限与某个 IAM 身份(例如 IAM 角色)关联起来。例如,开发人员可以担任某个 IAM 角色并使用该角色对 EKS 集群进行身份验证。
您可以通过两种方式将 Kubernetes 权限附加到访问条目:
-
使用访问策略。访问策略是由 AWS 维护的预定义 Kubernetes 权限模板。有关更多信息,请参阅 检查访问策略权限。
-
引用 Kubernetes 组。如果您将某个 IAM 身份与某个 Kubernetes 组关联,则可以创建向该组授予权限 Kubernetes 资源。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权
。
优点
借助 Amazon EKS 集群访问管理功能,您可以直接通过 Amazon EKS API 控制 Kubernetes 集群的身份验证和授权。由于无需在管理用户权限时在 AWS 和 Kubernetes API 之间切换,因此使用此功能可以简化访问管理。使用访问条目和访问策略,您可以为 AWS IAM 主体定义精细权限,包括修改或撤销集群创建者的集群管理员权限的能力。
此功能与 AWS CloudFormation、Terraform 和 AWS CDK 等基础设施即代码(IaC)工具集成,让您可以在创建集群期间定义访问配置。如果出现配置错误,您可以通过 Amazon EKS API 还原集群访问权限,而无需直接访问 Kubernetes API。这种集中式方法利用现有的 AWS IAM 功能(例如 CloudTrail 审计日志记录和多重验证),减少了运营开销并提高了安全性。
开始使用
-
确定您要使用的 IAM 身份和访问策略。
-
在集群上启用 EKS 访问条目。确认您有受支持的平台版本。
-
创建一个访问条目,将某个 IAM 身份与 Kubernetes 权限关联起来。
-
使用该 IAM 身份向集群进行身份验证。
遗留集群访问配置
当您在此功能推出之前创建的集群(初始平台版本早于“平台版本要求”中所列版本的集群)上启用 EKS 访问条目时,EKS 会自动创建一个反映先前已存在权限的访问条目。该访问条目会显示:
-
最初创建集群的 IAM 身份
-
创建集群期间授予该身份的管理员权限
注意
以前,此管理员访问权限是自动授予的,无法修改。启用 EKS 访问条目后,您现在可以查看和删除此遗留访问配置。
