**協助改進此頁面** 

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

若要為本使用者指南貢獻內容，請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解存取控制在 Amazon EKS 中的運作方式
<a name="cluster-auth"></a>

了解如何管理對 Amazon EKS 叢集的存取權限。使用 Amazon EKS 需要了解 Kubernetes 和 AWS Identity and Access Management (AWS IAM) 如何處理存取控制。

 **本節包括：**

 **[授予 IAM 使用者和角色對 Kubernetes APIs存取權](grant-k8s-access.md)**：了解如何讓應用程式或使用者對 Kubernetes API 進行身分驗證。您可使用存取項目、aws-auth ConfigMap 或外部 OIDC 提供商。

 ** [在 中檢視 Kubernetes 資源 AWS 管理主控台](view-kubernetes-resources.md) ** — 了解如何設定 AWS 管理主控台 以與您的 Amazon EKS 叢集通訊。使用主控台檢視叢集中的 Kubernetes 資源，如命名空間、節點和 Pod。

 ** [授予 AWS 服務對 Kubernetes APIs寫入存取權](mutate-kubernetes-resources.md) ** — 了解修改 Kubernetes 資源所需的許可。

 **[透過建立 kubeconfig 檔案將 kubectl 連線至 EKS 叢集](create-kubeconfig.md)**：了解如何設定 kubectl 以與您的 Amazon EKS 叢集進行通訊。使用 AWS CLI 建立 kubeconfig 檔案。

 ** [AWS 使用 Kubernetes 服務帳戶授予 Kubernetes 工作負載存取權](service-accounts.md) ** — 了解如何將 Kubernetes 服務帳戶與 IAM AWS 角色建立關聯。您可以使用 Pod 身分識別或服務帳戶的 IAM 角色 (IRSA)。

## 一般任務
<a name="_common_tasks"></a>
+ 授予開發人員對 Kubernetes API 的存取權限。在 中檢視 Kubernetes 資源 AWS 管理主控台。
  + 解決方案：[使用存取項目](access-entries.md)將 Kubernetes RBAC 許可與 IAM AWS 使用者或角色建立關聯。
+ 設定 kubectl 以使用 AWS 登入資料與 Amazon EKS 叢集通訊。
  + 解決方案：使用 AWS CLI [建立 kubeconfig 檔案](create-kubeconfig.md)。
+ 使用外部身分識別提供商 (例如 Ping Identity) 來驗證使用者對 Kubernetes API 的存取。
  + 解決方案：[連結外部 OIDC 提供商](authenticate-oidc-identity-provider.md)。
+ 授予 Kubernetes 叢集上的工作負載呼叫 AWS APIs的能力。
  + 解決方案：[使用 Pod Identity](pod-identities.md) 將 AWS IAM 角色與 Kubernetes 服務帳戶建立關聯。

## 背景介紹
<a name="_background"></a>
+  [了解 Kubernetes 服務帳戶的工作原理。](https://kubernetes.io/docs/concepts/security/service-accounts/)
+  [檢閱 Kubernetes 角色型存取控制 (RBAC) 模型](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) 
+ 如需管理 AWS 資源存取權的詳細資訊，請參閱 [AWS IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html)。或者，[使用 IAM 在 AWS 上進行免費入門訓練](https://explore.skillbuilder.aws/learn/course/external/view/elearning/120/introduction-to-aws-identity-and-access-management-iam)。

## EKS 自動模式的考量事項
<a name="_considerations_for_eks_auto_mode"></a>

EKS Auto Mode 與 EKS Pod Identity 和 EKS 存取項目整合。
+ EKS 自動模式使用存取項目來授予 EKS 控制平面 Kubernetes 許可。例如，存取政策讓 EKS 自動模式能夠讀取有關網路端點和服務的資訊。
  + 您無法在 EKS 自動模式叢集上停用存取項目。
  + 您可選擇性啟用 `aws-auth` `ConfigMap`。
  + EKS 自動模式的存取項目將會自動設定。您可以檢視這些存取項目，但無法進行修改。
  + 如果您使用 NodeClass 建立自訂節點 IAM 角色，則需要使用 AmazonEKSAutoNodePolicy 存取政策為該角色建立存取項目。
+ 如果您想要授予 AWS 服務的工作負載許可，請使用 EKS Pod Identity。
  + 您無需在 EKS 自動模式叢集上安裝 Pod 身分識別代理程式。