Übersicht Voraussetzungen Schritt 1: Zugriffseintrag definieren Schritt 2: Zugriffseintrag mit Kubernetes-Gruppen erstellen Schritt 3: Kubernetes-RBAC konfigurieren Nächste Schritte

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Erstellung eines Zugriffseintrags mithilfe von Kubernetes-Gruppen über die AWS CLI

Erstellen Sie Amazon-EKS-Zugriffseinträge, die Kubernetes-Gruppen zur Autorisierung verwenden und eine manuelle RBAC-Konfiguration erfordern.

Anmerkung

Für die meisten Anwendungsfälle empfehlen wir die Verwendung von EKS-Zugriffsrichtlinien anstelle des auf dieser Seite beschriebenen Ansatzes mit Kubernetes-Gruppen. EKS-Zugriffsrichtlinien bieten eine einfachere, besser in AWS integrierte Möglichkeit zur Zugriffsverwaltung ohne manuelle RBAC-Konfiguration. Verwenden Sie den Kubernetes-Gruppenansatz nur, wenn Sie eine detailliertere Steuerung benötigen, als die EKS-Zugriffsrichtlinien bieten.

Übersicht

Zugriffseinträge definieren, wie IAM-Identitäten (Benutzer und Rollen) auf Ihre Kubernetes-Cluster zugreifen. Der Kubernetes-Gruppenansatz gewährt IAM-Benutzern oder -Rollen die Berechtigung, über standardmäßige Kubernetes-RBAC-Gruppen auf Ihren EKS-Cluster zuzugreifen. Diese Methode erfordert die Erstellung und Verwaltung von Kubernetes-RBAC-Ressourcen (Roles, RoleBindings, ClusterRoles und ClusterRoleBindings). Sie wird empfohlen, wenn Sie stark angepasste Berechtigungssätze und komplexe Autorisierungsanforderungen benötigen oder konsistente Zugriffskontrollmuster in hybriden Kubernetes-Umgebungen beibehalten möchten.

Dieses Thema behandelt nicht das Erstellen von Zugriffseinträgen für IAM-Identitäten, die für Amazon-EC2-Instances zum Beitritt zu EKS-Clustern verwendet werden.

Voraussetzungen

Der Authentifizierungsmodus Ihres Clusters muss konfiguriert sein, um Zugriffseinträge zu ermöglichen. Weitere Informationen finden Sie unter Ändern des Authentifizierungsmodus, um Zugriffseinträge zu verwenden.
Installieren und konfigurieren Sie die AWS CLI wie im Benutzerhandbuch zur AWS-Befehlszeilenschnittstelle unter Installieren beschrieben.
Vertrautheit mit Kubernetes RBAC wird empfohlen. Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

Schritt 1: Zugriffseintrag definieren

Suchen Sie die ARN der IAM-Identität, beispielsweise eines Benutzers oder einer Rolle, der bzw. der Sie Berechtigungen gewähren möchten.
- Jede IAM-Identität kann nur einen EKS-Zugriffseintrag haben.
Legen Sie fest, welche Kubernetes-Gruppen Sie dieser IAM-Identität zuordnen möchten.
- Sie müssen vorhandene Kubernetes-Role/ClusterRole und RoleBinding/ClusterRoleBinding-Ressourcen erstellen oder verwenden, die auf diese Gruppen verweisen.
Prüfen Sie, ob der automatisch generierte Benutzername für den Zugriffseintrag geeignet ist oder ob Sie einen Benutzernamen manuell angeben müssen.
- AWS generiert diesen Wert automatisch basierend auf der IAM-Identität. Sie können einen benutzerdefinierten Benutzernamen festlegen. Dieser wird in den Kubernetes-Protokollen angezeigt.
- Weitere Informationen finden Sie unter Festlegen eines benutzerdefinierten Benutzernamens für EKS-Zugriffseinträge.

Schritt 2: Zugriffseintrag mit Kubernetes-Gruppen erstellen

Nachdem Sie den Zugriffseintrag geplant haben, erstellen Sie ihn mithilfe der AWS CLI mit den entsprechenden Kubernetes-Gruppen.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Ersetzen Sie:

<cluster-name> durch den Namen Ihres EKS-Clusters
<iam-identity-arn> durch die ARN des IAM-Benutzers oder der IAM-Rolle
<groups> durch eine durch Kommas getrennte Liste von Kubernetes-Gruppen (z. B. „system:developers,system:readers“).

Sehen Sie sich die CLI-Referenz für alle Konfigurationsoptionen an.

Schritt 3: Kubernetes-RBAC konfigurieren

Damit der IAM-Prinzipal Zugriff auf Kubernetes-Objekte in Ihrem Cluster hat, müssen Sie rollenbasierte Zugriffskontrollobjekte (RBAC) für Kubernetes erstellen und verwalten:

Erstellen Sie Kubernetes Role oder ClusterRole-Objekte, welche die Berechtigungen definieren.
Erstellen Sie Kubernetes RoleBinding oder ClusterRoleBinding-Objekte in Ihrem Cluster, die den Gruppennamen als subject für kind: Group angeben.

Ausführliche Informationen zum Konfigurieren von Gruppen und Berechtigungen in Kubernetes finden Sie unter Verwendung der RBAC-Autorisierung in der Kubernetes-Dokumentation.

Nächste Schritte

Erstellung einer kubeconfig für die Verwendung von kubectl mit einer IAM-Identität

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Tutorial: Erstellen mit Zugriffsrichtlinie

aws-auth ConfigMap