授予 IAM 使用者使用 EKS 存取項目存取 Kubernetes

什麼是 EKS 存取項目？

EKS 存取項目是授予使用者存取 Kubernetes API 的最佳方式。例如，您可以使用存取項目來授予開發人員使用 kubectl 的存取權。

基本上，EKS 存取項目會將一組 Kubernetes 許可與 IAM 身分建立關聯，例如 IAM 角色。例如，開發人員可能會擔任 IAM 角色，並使用該角色向 EKS 叢集進行身分驗證。

您可以透過兩種方式連接 Kubernetes 存取項目的許可：

使用存取政策。存取政策是由維護的預先定義 Kubernetes 許可範本 AWS。如需詳細資訊，請參閱檢閱存取政策許可。
參考 Kubernetes 群組。如果您將 IAM Identity 與 Kubernetes 群組建立關聯，您可以建立授予群組許可的 Kubernetes 資源。如需詳細資訊，請參閱 Kubernetes 文件中的使用 RBAC 授權。

優點

Amazon EKS 叢集存取管理可讓您直接透過 Amazon EKS APIs 控制 Kubernetes 叢集的身分驗證和授權。此功能可簡化存取管理，無需在管理使用者許可時在 AWS 和 Kubernetes APIs之間切換。您可以使用存取項目和存取政策來定義 IAM AWS 主體的精細許可，包括從叢集建立者修改或撤銷叢集管理員許可的能力。

此功能與基礎設施整合為程式碼 (IaC) 工具，例如 AWS CloudFormation、Terraform 和 AWS CDK，可讓您在叢集建立期間定義存取組態。如果發生設定錯誤，您可以透過 Amazon EKS API 還原叢集存取，而不需要直接存取 Kubernetes API。這種集中式方法可降低營運開銷，並利用 CloudTrail 稽核記錄和多重要素驗證等現有 AWS IAM 功能來提高安全性。

開始使用

決定您要使用的 IAM Identity and Access 政策。
- 檢閱存取政策許可
在您的叢集上啟用 EKS 存取項目。確認您有支援的平台版本。
- 變更身分驗證模式以使用存取項目
建立將 IAM Identity 與 Kubernetes 許可建立關聯的存取項目。
- 建立存取項目
使用 IAM 身分驗證叢集。
- 設定 AWS CLI
- 設定 kubectl 和 eksctl

舊版叢集存取組態

當您在推出此功能之前建立的叢集上啟用 EKS 存取項目時（初始平台版本早於平台版本需求中指定的叢集），EKS 會自動建立反映現有許可的存取項目。此存取項目顯示：

最初建立叢集的 IAM 身分
在叢集建立期間授予該身分的管理許可

注意

先前，系統會自動授予此管理存取權，且無法修改。啟用 EKS 存取項目後，您現在可以檢視和刪除此舊版存取組態。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Kubernetes API 存取

關聯存取政策