Unterstützung für die Verbesserung dieser Seite beitragen
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kubernetes-Ressourcen anzeigen in der AWS-Managementkonsole
Mit der AWS-Managementkonsole können Sie die Kubernetes-Ressourcen anzeigen, die in Ihrem Cluster bereitgestellt sind. Sie können Kubernetes-Ressourcen nicht mit der AWS CLI oder eksctl anzeigen.
Anmerkung
Um die Registerkarte Ressourcen und den Abschnitt Knoten auf der Registerkarte Compute in der anzeigen zu können AWS-Managementkonsole, muss der von Ihnen verwendete IAM-Prinzipal über bestimmte IAM - und Kubernetes-Berechtigungen verfügen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen.
-
Öffnen Sie die Amazon-EKS-Konsole
. -
Wählen Sie in der Liste Cluster den Cluster aus, der die Kubernetes-Ressourcen enthält, die Sie anzeigen möchten.
-
Wählen Sie die Registerkarte für Resources (Ressourcen).
-
Wählen Sie eine Resource type-Gruppe (Ressourcentyp) aus, für die Sie Ressourcen anzeigen möchten, z. B. Workloads. Ihnen wird eine Liste der Ressourcentypen in dieser Gruppe angezeigt.
-
Wählen Sie einen Ressourcentyp aus, z. B. Deployments (Bereitstellungen) in der Gruppe Workloads. Sie sehen eine Beschreibung des Ressourcentyps, einen Link zur Kubernetes-Dokumentation für weitere Informationen über den Ressourcentyp und eine Liste der Ressourcen dieses Typs, die in Ihrem Cluster bereitgestellt werden. Wenn die Liste leer ist, werden keine Ressourcen dieses Typs in Ihrem Cluster bereitgestellt.
-
Wählen Sie eine Ressource aus, um weitere Informationen dazu anzuzeigen. Probieren Sie die folgenden Beispiele aus:
-
Wählen Sie die Gruppe Workloads aus, dann den Ressourcentyp Deployments (Bereitstellungen) gefolgt von der Ressource coredns. Wenn Sie eine Ressource auswählen, befinden Sie sich standardmäßig in der strukturierten Ansicht. Für einige Ressourcentypen wird in der strukturierten Ansicht der Abschnitt Pods angezeigt. In diesem Abschnitt sind die Pods aufgeführt, die von der Workload verwaltet werden. Sie können jeden aufgelisteten Pod auswählen, um Informationen zu dem Pod anzuzeigen. Nicht für alle Ressourcentypen werden Informationen in der strukturierten Ansicht angezeigt. Wenn Sie die Ansicht Raw in der oberen rechten Ecke der Seite für die Ressource auswählen, sehen Sie die vollständige JSON-Antwort von der Kubernetes-API für die Ressource.
-
Wählen Sie die Cluster-Gruppe aus und dann den Ressourcentyp Nodes (Knoten). Eine Liste aller Knoten in Ihrem Cluster wird angezeigt. Die Knoten können von jedem Amazon-EKS-Knoten-Typ sein. Das ist die gleiche Liste, die Sie im Abschnitt Nodes (Knoten) sehen, wenn Sie die Registerkarte Compute (Datenverarbeitung) für Ihren Cluster auswählen. Wählen Sie eine Knotenressource aus der Liste aus. In der strukturierten Ansicht sehen Sie ebenfalls einen Abschnitt Pods. Dieser Abschnitt zeigt Ihnen alle in dem Knoten ausgeführten Pods.
-
Erforderliche Berechtigungen
Um die Registerkarte Ressourcen und den Abschnitt Knoten auf der Registerkarte Compute in der anzeigen zu können AWS-Managementkonsole, muss der von Ihnen verwendete IAM-Prinzipal über bestimmte Mindestberechtigungen für IAM und Kubernetes verfügen. Sie müssen sowohl die IAM- als auch die Kubernetes-RBAC-Berechtigungen korrekt konfiguriert haben. Führen Sie die folgenden Schritte aus, um Ihren IAM-Prinzipalen die erforderlichen Berechtigungen zuzuweisen.
-
Stellen Sie sicher, dass
eks:AccessKubernetesApiund andere erforderliche IAM-Berechtigungen zum Anzeigen von Kubernetes-Ressourcen dem von Ihnen verwendeten IAM-Prinzipal zugewiesen sind. Weitere Informationen zum Bearbeiten von Berechtigungen für einen IAM-Prinzipal finden Sie unter Zugriff für Prinzipale steuern und im IAM-Benutzerhandbuch. Weitere Informationen zum Bearbeiten von Rollenberechtigungen finden Sie unter Modifying a role permissions policy (console) (Ändern einer Rollenberechtigungsrichtlinie (Konsole)) im IAM-Benutzerhandbuch.Die folgende Beispielrichtlinie enthält die erforderlichen Berechtigungen für einen Prinzipal zum Anzeigen von Kubernetes-Ressourcen für alle Cluster in Ihrem Konto. Ersetzen Sie
111122223333es durch Ihre Konto-ID. AWS{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks:ListFargateProfiles", "eks:DescribeNodegroup", "eks:ListNodegroups", "eks:ListUpdates", "eks:AccessKubernetesApi", "eks:ListAddons", "eks:DescribeCluster", "eks:DescribeAddonVersions", "eks:ListClusters", "eks:ListIdentityProviderConfigs", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:GetParameter", "Resource": "arn:aws:ssm:*:111122223333:parameter/*" } ] }Um Knoten in verbundenen Clustern anzuzeigen, sollte die IAM-Rolle des Amazon-EKS-Connectors in der Lage sein, den Prinzipal im Cluster anzunehmen. Dadurch kann Amazon EKS Connector den Prinzipal einem Kubernetes-Benutzer zuordnen.
-
Konfigurieren Sie Kubernetes-RBAC-Berechtigungen mithilfe von EKS-Zugriffseinträgen.
Was sind EKS-Zugriffseinträge?
EKS-Zugriffseinträge sind eine optimierte Methode, um IAM-Prinzipalen (Benutzern und Rollen) Zugriff auf Ihren Kubernetes-Cluster zu gewähren. Anstatt die Kubernetes-RBAC-Ressourcen und die manuell zu verwalten
aws-authConfigMap, übernehmen die Zugriffseinträge automatisch die Zuordnung zwischen IAM- und Kubernetes-Berechtigungen mithilfe der verwalteten Richtlinien von. AWS Ausführliche Informationen zu Zugriffseinträgen finden Sie unter. IAM-Benutzern mit EKS-Zugriffseinträgen Zugriff auf Kubernetes gewähren Informationen zu verfügbaren Zugriffsrichtlinien und deren Berechtigungen finden Sie unter Zugriffsrichtlinienberechtigungen.Sie können Kubernetes-Berechtigungen für den Zugriff auf Einträge auf zwei Arten anfügen:
-
Verwenden Sie eine Zugriffsrichtlinie: Zugriffsrichtlinien sind vordefinierte Kubernetes-Berechtigungsvorlagen, die von verwaltet werden. AWS Diese bieten standardisierte Berechtigungssätze für gängige Anwendungsfälle.
-
Verweisen Sie auf eine Kubernetes-Gruppe: Wenn Sie einer Kubernetes-Gruppe eine IAM-Identität zuordnen, können Sie Kubernetes-Ressourcen erstellen, die der Gruppe Berechtigungen gewähren. Weitere Informationen finden Sie unter Verwendung der RBAC-Autorisierung
in der Kubernetes-Dokumentation. -
Erstellen Sie mit der AWS CLI einen Zugriffseintrag für Ihren IAM-Prinzipal. Ersetzen Sie
my-clustermit dem Namen Ihres Clusters. Ersetzen Sie111122223333durch Ihre Konto-ID.aws eks create-access-entry \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-roleEine Beispielausgabe sieht wie folgt aus.
{ "accessEntry": { "clusterName": "my-cluster", "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role", "kubernetesGroups": [], "accessEntryArn": "arn:aws: eks:region-code:111122223333:access-entry/my-cluster/role/111122223333/my-console-viewer-role/abc12345-1234-1234-1234-123456789012", "createdAt": "2024-03-15T10:30:45.123000-07:00", "modifiedAt": "2024-03-15T10:30:45.123000-07:00", "tags": {}, "username": "arn:aws: iam::111122223333:role/my-console-viewer-role", "type": "STANDARD" } } -
Ordnen Sie dem Zugriffseintrag eine Richtlinie zu. Verwenden Sie zum Anzeigen von Kubernetes-Ressourcen den:
AmazonEKSViewPolicyaws eks associate-access-policy \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \ --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \ --access-scope type=clusterEine Beispielausgabe sieht wie folgt aus.
{ "clusterName": "my-cluster", "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role", "associatedAt": "2024-03-15T10:31:15.456000-07:00" }Für namespace-spezifischen Zugriff können Sie die Richtlinie auf bestimmte Namespaces beschränken:
aws eks associate-access-policy \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \ --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \ --access-scope type=namespace,namespaces=default,kube-system -
Stellen Sie sicher, dass der Zugriffseintrag erfolgreich erstellt wurde:
aws eks describe-access-entry \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role -
Führen Sie die zugehörigen Richtlinien auf, um die Richtlinienverknüpfung zu bestätigen:
aws eks list-associated-access-policies \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-roleEine Beispielausgabe sieht wie folgt aus.
{ "associatedAccessPolicies": [ { "policyArn": "arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy", "accessScope": { "type": "cluster" }, "associatedAt": "2024-03-15T10:31:15.456000-07:00", "modifiedAt": "2024-03-15T10:31:15.456000-07:00" } ] }
-
-
CloudTrail Sichtbarkeit
Bei der Anzeige von Kubernetes-Ressourcen wird in Ihren CloudTrail Protokollen der folgende Operationsname angezeigt:
-
AccessKubernetesApi- Beim Lesen oder Anzeigen von Ressourcen
Dieses CloudTrail Ereignis bietet einen Prüfpfad für den Lesezugriff auf Ihre Kubernetes-Ressourcen.
Anmerkung
Dieser Vorgangsname erscheint in den CloudTrail Protokollen nur zu Prüfungszwecken. Es handelt sich nicht um eine IAM-Aktion und kann nicht in IAM-Richtlinienerklärungen verwendet werden. Verwenden Sie die im Abschnitt beschriebene eks:AccessKubernetesApi Berechtigung, um den Lesezugriff auf Kubernetes-Ressourcen mithilfe von IAM-Richtlinien zu steuern. Erforderliche Berechtigungen
