Allgemeine Aufgaben Hintergrund Überlegungen zu EKS Auto Mode

Erfahren Sie, wie die Zugriffskontrolle in Amazon EKS funktioniert

Erfahren Sie, wie Sie den Zugriff auf Ihren Amazon-EKS-Cluster verwalten. Für die Verwendung von Amazon EKS sind Kenntnisse über die Zugriffskontrolle in Kubernetes und AWS Identity and Access Management (AWS IAM) erforderlich.

Dieser Abschnitt enthält:

Gewähren von Zugriff auf Kubernetes-APIs für IAM-Benutzer und Rollen – Erfahren Sie, wie Sie Anwendungen oder Benutzern die Authentifizierung bei der Kubernetes-API ermöglichen. Sie können Zugriffseinträge, die aws-auth-ConfigMap oder einen externen OIDC-Anbieter verwenden

Kubernetes-Ressourcen in AWS-Managementkonsole anzeigen – Erfahren Sie, wie Sie AWS-Managementkonsole für die Kommunikation mit Ihrem Amazon-EKS-Cluster konfigurieren. Verwenden Sie die Konsole, um Kubernetes-Ressourcen im Cluster anzuzeigen, z. B. Namespaces, Knoten und Pods.

kubectl mit einem EKS-Cluster durch Erstellen einer kubeconfig-Datei verbinden – Erfahren Sie, wie Sie kubectl für die Kommunikation mit Ihrem Amazon-EKS-Cluster konfigurieren. Verwenden Sie die AWS-CLI, um eine kubeconfig-Datei zu erstellen.

Kubernetes-Workloads Zugriff auf AWS mithilfe von Kubernetes-Servicekonten gewähren – Erfahren Sie, wie Sie ein Kubernetes-Servicekonto einer AWS-IAM-Rolle zuordnen. Sie können Pod Identity oder IAM Roles for Service Accounts (IRSA) verwenden.

Allgemeine Aufgaben

Gewähren Sie Entwicklern Zugriff auf die Kubernetes-API. Zeigen Sie Kubernetes-Ressourcen im AWS-Managementkonsole an.
- Lösung: Verwenden Sie Zugriffseinträge, um Kubernetes-RBAC-Berechtigungen AWS-IAM-Benutzern oder -Rollen zuzuordnen.
Konfigurieren Sie kubectl, um mithilfe von AWS-Anmeldeinformationen mit einem Amazon-EKS-Cluster zu kommunizieren.
- Lösung: Verwenden Sie die AWS-CLI, um eine kubeconfig-Datei zu erstellen.
Verwenden Sie einen externen Identitätsanbieter wie Ping Identity, um Benutzer bei der Kubernetes-API zu authentifizieren.
- Lösung: Verbinden Sie einen externen OIDC-Anbieter.
Gewähren Sie Workloads in Ihrem Kubernetes-Cluster die Berechtigung, AWS-APIs aufzurufen.
- Lösung: Verwenden Sie Pod Identity, um eine AWS-IAM-Rolle einem Kubernetes-Servicekonto zuzuordnen.

Hintergrund

Erfahren Sie, wie Kubernetes-Servicekonten funktionieren.
Überprüfen Sie das rollenbasierte Zugriffskontrollmodell (RBAC) von Kubernetes.
Weitere Informationen zu AWS-Ressourcen finden Sie im AWS-IAM-Benutzerhandbuch. Alternativ können Sie an einem kostenlosen Einführungs-Training zur Verwendung von AWS IAM teilnehmen.

Überlegungen zu EKS Auto Mode

EKS Auto Mode lässt sich mit EKS Pod Identity und EKS-Zugriffseinträgen integrieren.

EKS Auto Mode verwendet Zugriffseinträge, um der EKS-Steuerebene Kubernetes-Berechtigungen zu gewähren. Beispielsweise ermöglichen die Zugriffsrichtlinien EKS Auto Mode, Informationen über Netzwerkendpunkte und -services zu lesen
- Es ist nicht möglich, Zugriffseinträge in einem EKS-Auto-Mode-Cluster zu deaktivieren.
- Optional können Sie die aws-auth ConfigMap aktivieren.
- Die Zugriffseinträge für EKS Auto Mode werden automatisch konfiguriert. Sie können diese Zugriffseinträge anzeigen, jedoch nicht ändern.
- Wenn Sie eine NodeClass verwenden, um eine benutzerdefinierte Node-IAM-Rolle zu erstellen, müssen Sie einen Zugriffseintrag für die Rolle mithilfe der Zugriffsrichtlinie AmazonEKSAutoNodePolicy erstellen.
Wenn Sie Workloads Berechtigungen für AWS-Services gewähren möchten, verwenden Sie EKS Pod Identity.
- Sie müssen den Pod-Identity-Agenten nicht auf EKS-Auto-Mode-Clustern installieren.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zonenverschiebung aktivieren

Kubernetes-API-Zugriff