允许 AWS Resilience Hub 访问您的亚马逊 Elastic Kubernetes Service 集群 - AWS 弹性中心

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

允许 AWS Resilience Hub 访问您的亚马逊 Elastic Kubernetes Service 集群

AWS Resilience Hub 通过分析您的亚马逊集群的基础设施,评估亚马逊 Elastic Kubernetes ServiceEKS(亚马逊)集群的弹性。EKS AWS Resilience Hub 使用 Kubernetes 基于角色的访问控制 (RBAC) 配置来评估其他 Kubernetes (K8) 工作负载,这些工作负载是作为亚马逊集群的一部分部署的。EKS AWS Resilience Hub 要查询您的 Amazon EKS 集群以分析和评估工作负载,您必须完成以下操作:

  • 在与 Amazon EKS 集群相同的账户中创建或使用现有 AWS Identity and Access Management (IAM) 角色。

  • 允许IAM用户和角色访问您的 Amazon EKS 集群,并向 Amazon 集群内的 K8s 资源授予额外的只读权限。EKS有关启用IAM用户和角色访问您的 Amazon EKS 集群的更多信息,请参阅启用对您的集群的IAM用户和角色访问权限-Amazon EKS

在亚马逊控制平面上运行的 Kubernetes AWS IAM 身份验证器允许使用IAM实体访问您的亚马逊EKS集群。EKS身份验证程序从 aws-auth ConfigMap 获取配置信息。

注意

AWS Resilience Hub 使用您账户中的IAM角色查询 Amazon EKS 集群内的资源。 AWS Resilience Hub 要访问您的 Amazon EKS 集群中的资源, AWS Resilience Hub 必须将使用的IAM角色映射到对您的 Amazon 集群内的资源具有足够只读权限的 Kubernetes 组。EKS

AWS Resilience Hub 允许使用以下IAM角色选项之一访问您的 Amazon EKS 集群资源:

  • 如果您的应用程序配置为使用基于角色的访问权限来访问资源,则在评估期间,将使用在创建应用程序 AWS Resilience Hub 时传递的调用者角色或辅助账户角色来访问您的 Amazon EKS 集群。

    以下概念图显示了将应用程序配置为基于角色的应用程序时如何 AWS Resilience Hub 访问 Amazon EKS 集群。

    Diagram showing AWS Resilience Hub accessing EKS clusters in primary and secondary accounts.

  • 如果您的应用程序配置为使用当前IAM用户访问资源,则必须使用与 Amazon EKS 集群相同的账户名称AwsResilienceHubAssessmentEKSAccessRole创建一个新IAM角色。然后,该IAM角色将用于访问您的 Amazon EKS 集群。

    以下概念图显示了当应用程序配置为使用当前IAM用户权限时,如何 AWS Resilience Hub 访问部署在您的主账户中的 Amazon EKS 集群。

    Icons representing login, current IAM role, assume role, and AWS Resilience Hub options.

    以下概念图显示了当应用程序配置为使用当前IAM用户权限时,如何 AWS Resilience Hub 访问部署在辅助账户上的 Amazon EKS 集群。

    Icons representing AWS 账户 access roles and permissions for primary and secondary accounts.