IAM-Benutzern mit EKS-Zugriffseinträgen Zugriff auf Kubernetes gewähren - Amazon EKS
ÜbersichtFeatureSo fügen Sie Berechtigungen hinzuÜberlegungenErste Schritte

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Benutzern mit EKS-Zugriffseinträgen Zugriff auf Kubernetes gewähren

Dieser Abschnitt zeigt Ihnen, wie Sie den IAM-Prinzipalzugriff auf Kubernetes-Cluster in Amazon Elastic Kubernetes Service (EKS) mithilfe von Zugriffseinträgen und Richtlinien verwalten. Sie finden detaillierte Informationen zum Ändern von Authentifizierungsmodi, zur Migration von veralteten aws-auth-ConfigMap-Einträgen, zum Erstellen, Aktualisieren und Löschen von Zugriffseinträgen, zum Verknüpfen von Richtlinien mit Einträgen, zum Überprüfen vordefinierter Richtlinienberechtigungen sowie zu wichtigen Voraussetzungen und Überlegungen für eine sichere Zugriffsverwaltung.

Übersicht

EKS-Zugriffseinträge sind die optimale Methode, um Benutzern Zugriff auf die Kubernetes-API zu gewähren. Beispielsweise können Sie Zugriffseinträge verwenden, um Entwicklern Zugriff auf die Verwendung von kubectl zu gewähren. Grundsätzlich ordnet ein EKS-Zugriffseintrag eine Reihe von Kubernetes-Berechtigungen einer IAM-Identität zu, beispielsweise einer IAM-Rolle. Ein Entwickler kann beispielsweise eine IAM-Rolle übernehmen und diese zur Authentifizierung bei einem EKS-Cluster verwenden.

Feature

  • Zentralisierte Authentifizierung und Autorisierung: Steuert den Zugriff auf Kubernetes-Cluster direkt über Amazon-EKS-APIs, sodass für Benutzerberechtigungen kein Wechsel zwischen AWS- und Kubernetes-APIs erforderlich ist.

  • Differenzierte Berechtigungsverwaltung: Verwendet Zugriffseinträge und Richtlinien, um differenzierte Berechtigungen für AWS-IAM-Prinzipale zu definieren, einschließlich der Änderung oder Aufhebung des Cluster-Admin-Zugriffs durch den Ersteller.

  • IaC-Tool-Integration: Unterstützt Infrastructure-as-Code-Tools wie AWS CloudFormation, Terraform und AWS CDK, um Zugriffskonfigurationen während der Cluster-Erstellung zu definieren.

  • Wiederherstellung nach Fehlkonfiguration: Ermöglicht die Wiederherstellung des Cluster-Zugriffs über die Amazon-EKS-API ohne direkten Zugriff auf die Kubernetes-API.

  • Reduzierte Gemeinkosten und verbesserte Sicherheit: Zentralisiert den Betrieb, um die Gemeinkosten zu senken, und nutzt gleichzeitig AWS-IAM-Features wie CloudTrail-Auditprotokollierung und Multi-Faktor-Authentifizierung.

So fügen Sie Berechtigungen hinzu

Sie können Kubernetes-Berechtigungen für den Zugriff auf Einträge auf zwei Arten anfügen:

  • Verwenden Sie eine Zugriffsrichtlinie. Zugriffsrichtlinien sind vordefinierte Kubernetes-Berechtigungsvorlagen, die von AWS verwaltet werden. Weitere Informationen finden Sie unter Berechtigungen von Zugriffsrichtlinien überprüfen.

  • Verweisen Sie auf eine Kubernetes-Gruppe. Wenn Sie eine IAM-Identität einer Kubernetes-Gruppe zuordnen, können Sie Kubernetes-Ressourcen erstellen, die der Gruppe Berechtigungen gewähren. Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

Überlegungen

Beachten Sie bei der Aktivierung von EKS-Zugriffseinträgen in vorhandenen Clustern Folgendes:

  • Verhalten älterer Cluster: Bei Clustern, die vor der Einführung von Zugriffseinträgen erstellt wurden (d. h. Clustern mit einer Plattformversion, die älter ist als in den Anforderungen an die Plattformversion angegeben), erstellt EKS automatisch einen Zugriffseintrag, der die bereits vorhandenen Berechtigungen widerspiegelt. Dieser Eintrag enthält die IAM-Identität, mit welcher der Cluster ursprünglich erstellt wurde, sowie die Verwaltungsberechtigungen, die dieser Identität bei der Cluster-Erstellung gewährt wurden.

  • Umgang mit der veralteten aws-auth-ConfigMap: Wenn Ihr Cluster für die Zugriffsverwaltung auf die veraltete aws-auth-ConfigMap angewiesen ist, wird bei der Aktivierung von Zugriffseinträgen automatisch nur der Zugriffseintrag für den ursprünglichen Cluster-Ersteller erstellt. Zusätzliche Rollen oder Berechtigungen, die der ConfigMap hinzugefügt werden (z. B. benutzerdefinierte IAM-Rollen für Entwickler oder Services), werden nicht automatisch migriert. Um dies zu beheben, erstellen Sie manuell die entsprechenden Zugriffseinträge.

Erste Schritte

  1. Legen Sie die IAM-Identitäts- und Zugriffsrichtlinie fest, die Sie verwenden möchten.

  2. Aktivieren Sie EKS-Zugriffseinträge in Ihrem Cluster. Bestätigen Sie, dass Sie über eine unterstützte Plattformversion verfügen.

  3. Erstellen Sie einen Zugriffseintrag, der eine IAM-Identität einer Kubernetes-Berechtigung zuordnet.

  4. Authentifizieren Sie sich beim Cluster mit der IAM-Identität.