使用 EKS 访问条目向 IAM 用户授予 Kubernetes 访问权限

什么是 EKS 访问条目？

EKS 访问条目是向用户授予 Kubernetes API 访问权限的最佳方式。例如，您可以使用访问条目向开发人员授予使用 kubectl 的权限。

从根本上讲，EKS 访问条目会将一组 Kubernetes 权限与某个 IAM 身份（例如 IAM 角色）关联起来。例如，开发人员可以担任某个 IAM 角色并使用该角色对 EKS 集群进行身份验证。

您可以通过两种方式将 Kubernetes 权限附加到访问条目：

使用访问策略。访问策略是由 AWS 维护的预定义 Kubernetes 权限模板。有关更多信息，请参阅检查访问策略权限。
引用 Kubernetes 组。如果您将某个 IAM 身份与某个 Kubernetes 组关联，则可以创建向该组授予权限 Kubernetes 资源。有关更多信息，请参阅 Kubernetes 文档中的使用 RBAC 授权。

优点

借助 Amazon EKS 集群访问管理功能，您可以直接通过 Amazon EKS API 控制 Kubernetes 集群的身份验证和授权。由于无需在管理用户权限时在 AWS 和 Kubernetes API 之间切换，因此使用此功能可以简化访问管理。使用访问条目和访问策略，您可以为 AWS IAM 主体定义精细权限，包括修改或撤销集群创建者的集群管理员权限的能力。

此功能与 AWS CloudFormation、Terraform 和 AWS CDK 等基础设施即代码（IaC）工具集成，让您可以在创建集群期间定义访问配置。如果出现配置错误，您可以通过 Amazon EKS API 还原集群访问权限，而无需直接访问 Kubernetes API。这种集中式方法利用现有的 AWS IAM 功能（例如 CloudTrail 审计日志记录和多重验证），减少了运营开销并提高了安全性。

开始使用

确定您要使用的 IAM 身份和访问策略。
- 检查访问策略权限
在集群上启用 EKS 访问条目。确认您有受支持的平台版本。
- 更改身份验证模式以使用访问条目
创建一个访问条目，将某个 IAM 身份与 Kubernetes 权限关联起来。
- 创建访问条目
使用该 IAM 身份向集群进行身份验证。
- 设置 AWS CLI
- 设置 kubectl 和 eksctl

遗留集群访问配置

当您在此功能推出之前创建的集群（初始平台版本早于“平台版本要求”中所列版本的集群）上启用 EKS 访问条目时，EKS 会自动创建一个反映先前已存在权限的访问条目。该访问条目会显示：

最初创建集群的 IAM 身份
创建集群期间授予该身份的管理员权限

注意

以前，此管理员访问权限是自动授予的，无法修改。启用 EKS 访问条目后，您现在可以查看和删除此遗留访问配置。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Kubernetes API 访问权限

关联访问策略