IAM-Identitäten Kubernetes-Berechtigungen zuordnen Einstellen des Cluster-Authentifizierungsmodus

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs

Ihr Cluster verfügt über einen Kubernetes-API-Endpunkt. Kubectl verwendet diese API. Sie können sich mit zwei Identitätstypen bei dieser API authentifizieren:

Ein AWS Identity and Access Management (IAM) -Prinzipal (Rolle oder Benutzer) — Dieser Typ erfordert eine Authentifizierung bei IAM. Benutzer können sich AWS als IAM-Benutzer oder mit einer föderierten Identität anmelden, indem sie Anmeldeinformationen verwenden, die über eine Identitätsquelle bereitgestellt wurden. Benutzer können sich nur dann mit einer Verbundidentität anmelden, wenn Ihr Administrator zuvor mithilfe von IAM-Rollen einen Identitätsverbund eingerichtet hat. Wenn Benutzer AWS mithilfe eines Verbunds darauf zugreifen, übernehmen sie indirekt eine Rolle. Wenn Benutzer diese Art von Identität verwenden, gilt Folgendes:
- Kann ihnen Kubernetes-Berechtigungen zuweisen, damit sie mit Kubernetes-Objekten in Ihrem Cluster arbeiten können. Weitere Informationen dazu, wie Sie Ihren IAM-Prinzipalen Berechtigungen zuweisen, damit sie auf Kubernetes-Objekte in Ihrem Cluster zugreifen können, finden Sie unter IAM-Benutzern mit EKS-Zugriffseinträgen Zugriff auf Kubernetes gewähren.
- Kann ihnen IAM-Berechtigungen zuweisen, sodass sie mithilfe der Amazon EKS-API, AWS CLI,, oder eksctl mit Ihrem Amazon EKS-Cluster und seinen Ressourcen arbeiten können. AWS CloudFormation AWS-Managementkonsole Weitere Informationen finden Sie in der Service-Authorization-Referenz unter Von Amazon Elastic Kubernetes Service definierte Aktionen.
- Wenn Knoten in Ihren Cluster eingebunden werden, nehmen sie eine IAM-Rolle an. Die Möglichkeit, mit IAM-Prinzipalen auf Ihren Cluster zuzugreifen, wird durch den AWS IAM Authenticator für Kubernetes bereitgestellt, der auf der Steuerebene von Amazon EKS ausgeführt wird.
Ein Benutzer in Ihrem eigenen OpenID Connect (OIDC)-Anbieter – Dieser Typ erfordert eine Authentifizierung bei Ihrem OIDC-Anbieter. Weitere Informationen zur Einrichtung Ihres eigenen OIDC-Anbieters mit Ihrem Amazon-EKS-Cluster finden Sie unter Benutzern Zugriff auf Kubernetes mit einem externen OIDC-Anbieter gewähren. Wenn Benutzer diese Art von Identität verwenden, gilt Folgendes:
- Kann ihnen Kubernetes-Berechtigungen zuweisen, damit sie mit Kubernetes-Objekten in Ihrem Cluster arbeiten können.
- Ihnen können keine IAM-Berechtigungen zugewiesen werden, sodass sie mithilfe der Amazon EKS-API, AWS CLI,, oder eksctl mit Ihrem Amazon EKS-Cluster und seinen Ressourcen arbeiten können. AWS CloudFormation AWS-Managementkonsole

Sie können beide Arten von Identitäten mit Ihrem Cluster verwenden. Die IAM-Authentifizierungsmethode kann nicht deaktiviert werden. Die OIDC-Authentifizierungsmethode ist optional.

IAM-Identitäten Kubernetes-Berechtigungen zuordnen

Der AWS IAM Authenticator für Kubernetes ist auf der Steuerebene Ihres Clusters installiert. Er ermöglicht AWS Identity and Access Management (IAM)-Prinzipale (Rollen und Benutzer), denen Sie den Zugriff auf Kubernetes-Ressourcen in Ihrem Cluster gestatten. Sie können eine der folgenden Methoden verwenden, um IAM-Prinzipalen Zugriff auf Kubernetes-Objekte in Ihrem Cluster zu gewähren:

Erstellen von Zugriffseinträgen – Wenn Ihr Cluster mindestens über die Plattformversion verfügt, die im Abschnitt Voraussetzungen für die Kubernetes-Version Ihres Clusters aufgeführt ist, sollten Sie diese Option verwenden.

Verwenden Sie Zugriffseinträge, um die Kubernetes-Berechtigungen von IAM-Prinzipalen außerhalb des Clusters zu verwalten. Sie können den Zugriff auf den Cluster mithilfe der EKS-API, der AWS Befehlszeilenschnittstelle, AWS SDKs AWS CloudFormation, und hinzufügen und AWS-Managementkonsole verwalten. Für die Benutzerverwaltung können also die gleichen Tools verwendet werden wie für die Clustererstellung.

Folgen Sie zunächst den Anweisungen Authentifizierungsmodus zur Verwendung von Zugriffseinträgen ändern und anschließend Vorhandene aws-auth-Einträge zu ConfigMap Zugriffseinträgen migrieren.
Hinzufügen von Einträgen zu aws-auth ConfigMap : Wenn die Plattformversion Ihres Clusters älter ist als die im Abschnitt Voraussetzungen aufgeführte Version, muss diese Option verwendet werden. Falls die Plattformversion Ihres Clusters mindestens der Plattformversion entspricht, die im Abschnitt Voraussetzungen für die Kubernetes-Version Ihres Clusters angegeben ist, und Sie Einträge zu ConfigMap hinzugefügt haben, empfiehlt es sich, diese Einträge zu Zugriffseinträgen zu migrieren. Sie können allerdings keine Einträge migrieren, die von Amazon EKS zu ConfigMap hinzugefügt wurden (also beispielsweise Einträge für IAM-Rollen, die mit verwalteten Knotengruppen oder Fargate-Profilen verwendet werden). Weitere Informationen finden Sie unter Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs.
- Wenn Sie aws-auth ConfigMap verwenden müssen, können Sie mithilfe des Befehls eksctl create iamidentitymapping Einträge zu ConfigMap hinzufügen. Weitere Informationen finden Sie in der Dokumentation zu eksctl unter Manage IAM users and roles.

Einstellen des Cluster-Authentifizierungsmodus

Jeder Cluster hat einen Authentifizierungsmodus. Der Authentifizierungsmodus bestimmt, welche Methoden Sie verwenden können, um IAM-Prinzipalen den Zugriff auf Kubernetes-Objekte in Ihrem Cluster zu ermöglichen. Es gibt drei Authentifizierungsmodi.

Wichtig

Sobald die Zugriffseingabemethode aktiviert ist, kann sie nicht mehr deaktiviert werden.

Wenn die ConfigMap-Methode während der Cluster-Erstellung nicht aktiviert wird, kann sie später nicht mehr aktiviert werden. Für alle Cluster, die vor der Einführung von Zugriffseinträgen erstellt wurden, ist die ConfigMap-Methode aktiviert.

Wenn Sie Hybridknoten mit Ihrem Cluster verwenden, müssen Sie die Cluster-Authentifizierungsmodi API oder API_AND_CONFIG_MAP verwenden.

Die aws-auth ConfigMap innerhalb des Clusters

Dies ist der ursprüngliche Authentifizierungsmodus für Amazon-EKS-Cluster. Der IAM-Prinzipal, der den Cluster erstellt hat, ist zunächst der einzige Benutzer, der über kubectl auf den Cluster zugreifen kann. Dieser Benutzer muss der Liste in aws-auth ConfigMap weitere Benutzer hinzufügen und Berechtigungen zuweisen, die sich auf die anderen Benutzer innerhalb des Clusters auswirken. Die anderen Benutzer können den ursprünglichen Benutzer nicht verwalten oder entfernen, da ConfigMap keinen zu verwaltenden Eintrag enthält.

Sowohl die als auch die Zugriffseinträge ConfigMap

In diesem Authentifizierungsmodus können Sie beide Methoden verwenden, um dem Cluster IAM-Prinzipale hinzuzufügen. Beachten Sie, dass jede Methode separate Einträge speichert. Wenn Sie beispielsweise einen Zugriffseintrag über die AWS CLI hinzufügen, aws-auth ConfigMap wird dieser nicht aktualisiert.

Nur auf Einträge zugreifen

In diesem Authentifizierungsmodus können Sie die EKS-API, die AWS Befehlszeilenschnittstelle,, und verwenden AWS SDKs AWS CloudFormation, AWS-Managementkonsole um den Zugriff auf den Cluster für IAM-Prinzipale zu verwalten.

Jeder Zugriffseintrag hat einen Typ und Sie können eine Kombination aus Zugriffsbereich und Zugriffsrichtlinie verwenden, um mithilfe des Zugriffsbereichs den Prinzipal auf einen bestimmten Namespace zu beschränken und mithilfe der Zugriffsrichtlinie vorkonfigurierte, wiederverwendbare Berechtigungsrichtlinien festzulegen. Alternativ können Sie den Typ STANDARD und Kubernetes RBAC-Gruppen verwenden, um benutzerdefinierte Berechtigungen zuzuweisen.

Authentifizierungsmodus	Methoden
Nur `ConfigMap` (`CONFIG_MAP`)	`aws-auth` `ConfigMap`
EKS-API und `ConfigMap` (`API_AND_CONFIG_MAP`)	auf Einträge in der EKS-API, der AWS Befehlszeilenschnittstelle, AWS SDKs AWS CloudFormation, und zugreifen AWS-Managementkonsole `aws-auth` `ConfigMap`
Nur EKS-API (`API`)	auf Einträge in der EKS-API, der AWS Befehlszeilenschnittstelle, AWS SDKs, AWS CloudFormation, zugreifen und AWS-Managementkonsole

Anmerkung

Amazon EKS Auto Mode erfordert Zugriffseinträge.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugriff verwalten

Zugriffseinträge