**帮助改进此页面** 

要帮助改进本用户指南，请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。

# 了解 Amazon EKS 中的访问控制工作原理
<a name="cluster-auth"></a>

了解如何管理对您的 Amazon EKS 集群的访问权限。使用 Amazon EKS 需要了解 Kubernetes 和 AWS Identity and Access Management（AWS IAM）如何处理访问控制。

 **本部分包括：**

 **[向 IAM 用户和角色授予对 Kubernetes API 的访问权限](grant-k8s-access.md)** – 了解如何允许应用程序或用户对 Kubernetes API 进行身份验证。您可以使用访问条目、aws-auth ConfigMap 或外部 OIDC 提供商。

 **[在 AWS 管理控制台中查看 Kubernetes 资源](view-kubernetes-resources.md)** – 了解如何将 AWS 管理控制台 配置为与 Amazon EKS 集群进行通信。使用控制台查看集群中的 Kubernetes 资源，例如命名空间、节点和容器组（pod）。

 **[向 AWS 服务授予对 Kubernetes API 的写入权限](mutate-kubernetes-resources.md)**：了解修改 Kubernetes 资源所需的权限。

 **[通过创建 kubeconfig 文件将 kubectl 连接到 EKS 集群](create-kubeconfig.md)** – 了解如何将 kubectl 配置为与 Amazon EKS 集群进行通信。请使用 AWS CLI 创建 kubeconfig 文件。

 **[使用 Kubernetes 服务账户授予 Kubernetes 工作负载访问 AWS 的权限](service-accounts.md)** – 了解如何将 Kubernetes 服务账户与 AWS IAM 角色关联。您可以将容器组身份或 IAM 角色用于服务账户的（IRSA）。

## 常见任务
<a name="_common_tasks"></a>
+ 向开发人员授予对 Kubernetes API 的访问权限。在 AWS 管理控制台中查看 Kubernetes 资源。
  + 解决方案：[使用访问条目](access-entries.md)将 Kubernetes RBAC 权限与 AWS IAM 用户或角色相关联。
+ 将 kubectl 配置为使用 AWS 凭证与 Amazon EKS 集群通信。
  + 解决方案使用 AWS CLI [创建 kubeconfig 文件](create-kubeconfig.md)。
+ 使用外部身份提供者（例如 Ping Identity）对 Kubernetes API 进行用户身份验证。
  + 解决方案：[链接外部 OIDC 提供商](authenticate-oidc-identity-provider.md)。
+ 授予 Kubernetes 集群上的工作负载调用 AWS API 的能力。
  + 解决方案：[使用容器组身份](pod-identities.md)将 AWS IAM 角色与 Kubernetes 服务账户关联。

## 背景
<a name="_background"></a>
+  [了解 Kubernetes 服务账户的工作原理。](https://kubernetes.io/docs/concepts/security/service-accounts/)
+  [查看 Kubernetes 基于角色的访问控制（RBAC）模型](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) 
+ 有关管理对 AWS 资源的访问权限的更多信息，请参阅《AWS IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html)。或者，请参加[有关使用 AWS IAM 的免费入门培训](https://explore.skillbuilder.aws/learn/course/external/view/elearning/120/introduction-to-aws-identity-and-access-management-iam)。

## EKS 自动模式注意事项
<a name="_considerations_for_eks_auto_mode"></a>

EKS 自动模式与 EKS 容器组身份和 EKS 访问条目集成。
+ EKS 自动模式使用访问条目向 EKS 控制面板授予 Kubernetes 权限。例如，访问策略允许 EKS 自动模式读取有关网络端点和服务的信息。
  + 您不能在 EKS 自动模式集群上禁用访问条目。
  + 您可以选择启用 `aws-auth` `ConfigMap`。
  + EKS 自动模式的访问条目是自动配置的。您可以查看这些访问条目，但不能对其进行修改。
  + 如果您使用节点类创建自定义节点 IAM 角色，则需要使用 AmazonEKSAutoNodePolicy 访问策略为该角色创建访问条目。
+ 要向工作负载授予 AWS 服务的权限，请使用 EKS 容器组身份。
  + 您无需在 EKS 自动模式集群上安装容器组身份代理。