協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要提供此使用者指南,請選擇位於每個頁面右窗格中的 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予 IAM 使用者使用 EKS 存取項目存取 Kubernetes
什麼是 EKS 存取項目?
EKS 存取項目是授予使用者存取 Kubernetes API 的最佳方式。例如,您可以使用存取項目來授予開發人員使用 kubectl 的存取權。
基本上,EKS 存取項目會將一組 Kubernetes 許可與 IAM 身分建立關聯,例如 IAM 角色。例如,開發人員可能會擔任 IAM 角色,並使用該角色向 EKS 叢集進行身分驗證。
您可以透過兩種方式連接 Kubernetes 存取項目的許可:
-
使用存取政策。存取政策是由 維護的預先定義 Kubernetes 許可範本 AWS。如需詳細資訊,請參閱檢閱存取政策許可。
-
參考 Kubernetes 群組。如果您將 IAM Identity 與 Kubernetes 群組建立關聯,您可以建立授予群組許可的 Kubernetes 資源。如需詳細資訊,請參閱 Kubernetes 文件中的使用 RBAC 授權
。
優點
Amazon EKS 叢集存取管理可讓您直接透過 Amazon EKS APIs 控制 Kubernetes 叢集的身分驗證和授權。此功能可簡化存取管理,無需在管理使用者許可時在 AWS 和 Kubernetes APIs之間切換。您可以使用存取項目和存取政策來定義 IAM AWS 主體的精細許可,包括從叢集建立者修改或撤銷叢集管理員許可的能力。
此功能與基礎設施整合為程式碼 (IaC) 工具,例如 AWS CloudFormation、Terraform 和 AWS CDK,可讓您在叢集建立期間定義存取組態。如果發生設定錯誤,您可以透過 Amazon EKS API 還原叢集存取,而不需要直接存取 Kubernetes API。這種集中式方法可降低營運開銷,並利用 CloudTrail 稽核記錄和多重要素驗證等現有 AWS IAM 功能來提高安全性。
開始使用
-
決定您要使用的 IAM Identity and Access 政策。
-
在您的叢集上啟用 EKS 存取項目。確認您有支援的平台版本。
-
建立將 IAM Identity 與 Kubernetes 許可建立關聯的存取項目。
-
使用 IAM 身分驗證叢集。
舊版叢集存取組態
當您在推出此功能之前建立的叢集上啟用 EKS 存取項目時 (初始平台版本早於平台版本需求中指定的叢集),EKS 會自動建立反映現有許可的存取項目。此存取項目顯示:
-
最初建立叢集的 IAM 身分
-
在叢集建立期間授予該身分的管理許可
注意
先前,系統會自動授予此管理存取權,且無法修改。啟用 EKS 存取項目後,您現在可以檢視和刪除此舊版存取組態。