Übersicht Voraussetzungen Schritt 1: Zugriffseintrag definieren Schritt 2: Zugriffseintrag erstellen Schritt 3: Zugriffsrichtlinie zuordnen Nächste Schritte

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Erstellen Sie mithilfe einer Zugriffsrichtlinie und der AWS-CLI einen Zugriffseintrag für eine IAM-Rolle oder einen IAM-Benutzer

Erstellen Sie Amazon-EKS-Zugriffseinträge, die von AWS verwaltete EKS-Zugriffsrichtlinien verwenden, um IAM-Identitäten standardisierte Berechtigungen für den Zugriff auf und die Verwaltung von Kubernetes-Clustern zu gewähren.

Übersicht

Zugriffseinträge in Amazon EKS legen fest, wie IAM-Identitäten (Benutzer und Rollen) auf Ihre Kubernetes-Cluster zugreifen und mit diesen interagieren können. Durch die Erstellung von Zugriffseinträgen mit EKS-Zugriffsrichtlinien können Sie:

Bestimmten IAM-Benutzern oder -Rollen die Berechtigung zum Zugriff auf Ihren EKS-Cluster gewähren
Berechtigungen mithilfe von AWS-verwalteten EKS-Zugriffsrichtlinien steuern, die standardisierte, vordefinierte Berechtigungssätze bieten
Berechtigungen auf bestimmte Namespaces oder clusterweit beschränken
Zugriffsverwaltung vereinfachen, ohne die aws-auth ConfigMap zu ändern oder Kubernetes-RBAC-Ressourcen zu erstellen
AWS-integrierten Ansatz für die Kubernetes-Zugriffskontrolle verwenden, der gängige Anwendungsfälle abdeckt und gleichzeitig bewährte Sicherheitsmethoden einhält

Dieser Ansatz wird für die meisten Anwendungsfälle empfohlen, da er von AWS verwaltete, standardisierte Berechtigungen bietet, ohne dass eine manuelle Kubernetes-RBAC-Konfiguration erforderlich ist. EKS-Zugriffsrichtlinien machen die manuelle Konfiguration von Kubernetes-RBAC-Ressourcen überflüssig und bieten vordefinierte Berechtigungssätze, die gängige Anwendungsfälle abdecken.

Voraussetzungen

Der Authentifizierungsmodus Ihres Clusters muss konfiguriert sein, um Zugriffseinträge zu ermöglichen. Weitere Informationen finden Sie unter Ändern des Authentifizierungsmodus, um Zugriffseinträge zu verwenden.
Installieren und konfigurieren Sie die AWS CLI wie im Benutzerhandbuch zur AWS-Befehlszeilenschnittstelle unter Installieren beschrieben.

Schritt 1: Zugriffseintrag definieren

Suchen Sie die ARN der IAM-Identität, z. B. eines Benutzers oder einer Rolle, der Sie Berechtigungen gewähren möchten.
- Jede IAM-Identität kann nur einen EKS-Zugriffseintrag haben.
Legen Sie fest, ob die Berechtigungen der Amazon-EKS-Zugriffsrichtlinie nur für einen bestimmten Kubernetes-Namespace oder für den gesamten Cluster gelten sollen.
- Wenn Sie die Berechtigungen auf einen bestimmten Namespace beschränken möchten, notieren Sie sich den Namen des Namespace.
Wählen Sie die gewünschte EKS-Zugriffsrichtlinie für die IAM-Identität aus. Diese Richtlinie gewährt Berechtigungen innerhalb des Clusters. Notieren Sie sich die ARN der Richtlinie.
- Eine Liste der Richtlinien finden Sie unter Verfügbare Zugriffsrichtlinien.
Prüfen Sie, ob der automatisch generierte Benutzername für den Zugriffseintrag geeignet ist oder ob Sie einen Benutzernamen manuell angeben müssen.
- AWS generiert diesen Wert automatisch basierend auf der IAM-Identität. Sie können einen benutzerdefinierten Benutzernamen festlegen. Dieser wird in den Kubernetes-Protokollen angezeigt.
- Weitere Informationen finden Sie unter Festlegen eines benutzerdefinierten Benutzernamens für EKS-Zugriffseinträge.

Schritt 2: Zugriffseintrag erstellen

Nachdem Sie den Zugriffseintrag geplant haben, erstellen Sie ihn mithilfe der AWS-CLI.

Das folgende Beispiel deckt die meisten Anwendungsfälle ab. Sehen Sie sich die CLI-Referenz für alle Konfigurationsoptionen an.

Im nächsten Schritt fügen Sie die Zugriffsrichtlinie hinzu.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Schritt 3: Zugriffsrichtlinie zuordnen

Der Befehl unterscheidet sich je nachdem, ob Sie die Richtlinie auf einen bestimmten Kubernetes-Namespace beschränken möchten.

Sie benötigen die ARN der Zugriffsrichtlinie. Überprüfen Sie die verfügbaren Zugriffsrichtlinien.

Erstellung einer Richtlinie ohne Namespace-Gültigkeitsbereich


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Mit Namespace-Gültigkeitsbereich erstellen


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Nächste Schritte

Erstellung einer kubeconfig für die Verwendung von kubectl mit einer IAM-Identität

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Benutzerdefinierten Benutzernamen festlegen

Tutorial: Erstellen mit Kubernetes-Gruppen