**Ayude a mejorar esta página** 

Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.

# Concesión de acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS
<a name="access-entries"></a>

Esta sección está diseñada para mostrarle cómo administrar el acceso de la entidad principal de IAM a los clústeres de Kubernetes en Amazon Elastic Kubernetes Service (EKS) utilizando entradas y políticas de acceso. Encontrará detalles sobre cómo cambiar los modos de autenticación, cómo migrar desde entradas de `aws-auth` ConfigMap heredadas, cómo crear, actualizar y eliminar entradas de acceso, cómo asociar políticas a entradas, cómo revisar los permisos de políticas predefinidas y los requisitos previos y las consideraciones clave para la administración segura del acceso.

## Descripción general
<a name="_overview"></a>

Las entradas de acceso de EKS son la mejor forma de conceder acceso a la API de Kubernetes a los usuarios. Por ejemplo, puede utilizar entradas de acceso para conceder a los desarrolladores acceso para utilizar kubectl. Básicamente, una entrada de acceso de EKS asocia un conjunto de permisos de Kubernetes a una identidad de IAM, como un rol de IAM. Por ejemplo, un desarrollador puede asumir un rol de IAM y utilizarlo para autenticarse en un clúster de EKS.

## Características
<a name="_features"></a>
+  **Autenticación y autorización centralizadas**: controla el acceso a los clústeres de Kubernetes directamente a través de las API de Amazon EKS, lo que elimina la necesidad de cambiar entre las API de AWS y de Kubernetes para obtener permisos de usuario.
+  **Administración detallada de los permisos**: utiliza entradas y políticas de acceso para definir permisos detallados para las entidades principales de AWS IAM, incluida la capacidad de modificar o revocar los permisos de administrador del clúster a su creador.
+  **Integración con la herramienta de IaC**: admite infraestructura como herramientas de código, como AWS CloudFormation, Terraform y AWS CDK, lo que permite definir las configuraciones de acceso durante la creación del clúster.
+  **Recuperación de errores de configuración**: permite restaurar el acceso al clúster a través de la API de Amazon EKS sin acceso directo a la API de Kubernetes.
+  **Reducción de gastos y seguridad mejorada**: centraliza las operaciones para reducir los gastos al tiempo que aprovecha las características de AWS IAM, como el registro de auditorías de CloudTrail y la autenticación multifactor.

## Cómo adjuntar permisos
<a name="_how_to_attach_permissions"></a>

Puede asociar permisos de Kubernetes a entradas de acceso dos maneras:
+ Utilice una política de acceso. Las políticas de acceso son plantillas de permisos de Kubernetes predefinidas mantenidas por AWS. Para obtener más información, consulte [Revisión de los permisos de la política de acceso](access-policy-permissions.md).
+ Haga referencia a un grupo de Kubernetes. Si asocia una identidad de IAM a un grupo de Kubernetes, podrá crear recursos de Kubernetes que concedan permisos al grupo. Para obtener más información, consulte [Utilización de la autorización de RBAC](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) en la documentación de Kubernetes.

## Consideraciones
<a name="_considerations"></a>

Al habilitar las entradas de acceso de EKS en los clústeres existentes, se debe tener en cuenta lo siguiente:
+  **Comportamiento de los clústeres heredados**: para los clústeres creados antes de la introducción de las entradas de acceso (aquellos con versiones de la plataforma iniciales anteriores a las especificadas en los [requisitos de versión de la plataforma](https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html)), EKS crea automáticamente una entrada de acceso que refleja los permisos preexistentes. Esta entrada incluye la identidad de IAM que creó originalmente el clúster y los permisos administrativos otorgados a esa identidad durante la creación del clúster.
+  **Gestión del `aws-auth` ConfigMap heredado**: si su clúster se basa en el `aws-auth` ConfigMap heredado para la administración del acceso, solo se crea automáticamente la entrada de acceso del creador del clúster original al habilitar las entradas de acceso. Los roles o permisos adicionales agregados al ConfigMap (por ejemplo, roles de IAM personalizados para desarrolladores o servicios) no se migran automáticamente. Para solucionarlo, se deben crear manualmente las entradas de acceso correspondientes.

## Introducción
<a name="_get_started"></a>

1. Determine la identidad de IAM y la política de acceso que desea utilizar.
   +  [Revisión de los permisos de la política de acceso](access-policy-permissions.md) 

1. Habilite las entradas de acceso de EKS en el clúster. Confirme que tiene una versión de la plataforma compatible.
   +  [Cambio del modo de autenticación para utilizar las entradas de acceso](setting-up-access-entries.md) 

1. Cree una entrada de acceso que asocie una identidad de IAM a un permiso de Kubernetes.
   +  [Creación de entradas de acceso](creating-access-entries.md) 

1. Autentíquese en el clúster mediante la identidad de IAM.
   +  [Configurar AWS CLI](install-awscli.md) 
   +  [Configuración de `kubectl` y `eksctl`](install-kubectl.md)