Présentation Fonctionnalités Attachement des autorisations Considérations Mise en route

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Attribution de l’accès Kubernetes aux utilisateurs IAM avec les entrées d’accès EKS

Cette section explique comment gérer l’accès des principaux IAM aux clusters Kubernetes dans Amazon Elastic Kubernetes Service (EKS) en utilisant les entrées d’accès et des politiques d’accès. Vous y trouverez des informations sur la modification des modes d’authentification, la migration depuis les entrées aws-auth ConfigMap héritées, la création, la mise à jour et la suppression d’entrées d’accès, l’association de politiques aux entrées, la consultation des autorisations des politiques prédéfinies, et les prérequis et les considérations clés pour une gestion sécurisée des accès.

Présentation

Les entrées d’accès EKS constituent la meilleure méthode pour accorder aux utilisateurs l’accès à l’API Kubernetes. Par exemple, vous pouvez utiliser les entrées d’accès pour permettre aux développeurs d’utiliser kubectl. Concrètement, une entrée d’accès EKS associe un ensemble d’autorisations Kubernetes à une identité IAM, comme un rôle IAM. Par exemple, un développeur peut assumer un rôle IAM et l’utiliser pour s’authentifier auprès d’un cluster EKS.

Fonctionnalités

Authentification et autorisation centralisées : contrôle l’accès aux clusters Kubernetes directement via les API Amazon EKS, supprimant la nécessité d’alterner entre les API AWS et les API Kubernetes pour gérer les autorisations des utilisateurs.
Gestion granulaire des autorisations : utilise des entrées d’accès et des politiques pour définir des permissions fines pour les principaux AWS IAM, notamment la possibilité de modifier ou de retirer l’accès cluster-admin au créateur du cluster.
Intégration aux outils IaC : prend en charge les outils d’infrastructure en tant que code, tels que AWS CloudFormation, Terraform et AWS CDK, pour définir la configuration des accès lors de la création du cluster.
Restauration après une mauvaise configuration : permet de restaurer l’accès au cluster via l’API Amazon EKS sans nécessiter d’accès direct à l’API Kubernetes.
Réduction des frais généraux et sécurité améliorée : centralise les opérations afin de réduire les frais généraux tout en tirant parti des fonctionnalités offertes AWS IAM, telles que la journalisation via CloudTrail et l’authentification multifacteur.

Attachement des autorisations

Vous pouvez attacher des autorisations Kubernetes aux entrées d’accès de deux façons :

Utiliser une stratégie d’accès. Les stratégies d’accès sont des modèles prédéfinis d’autorisations Kubernetes, gérés par AWS. Pour de plus amples informations, consultez Vérification des autorisations des stratégies d’accès.
Référencer un groupe Kubernetes. Si vous associez une identité IAM à un groupe Kubernetes, vous pouvez créer des ressources Kubernetes qui accordent des autorisations à ce groupe. Pour plus d'informations, consultez Utilisation de l'autorisation RBAC dans la documentation Kubernetes.

Considérations

Lorsque vous activez des entrées d’accès EKS pour des clusters existants, gardez à l’esprit les points suivants :

Comportement des clusters existants : pour les clusters créés avant l’introduction des entrées d’accès (ceux dont la version de plateforme initiale est antérieure à celle indiquée dans Exigences de version de plateforme), EKS crée automatiquement une entrée d’accès reflétant les autorisations préexistantes. Cette entrée inclut l’identité IAM qui a créé le cluster, ainsi que les autorisations administratives accordées lors de la création du cluster.
Gestion du ConfigMap aws-auth hérité : si votre cluster utilise encore le ConfigMap aws-auth hérité pour la gestion des accès, seule l’entrée d’accès correspondant au créateur initial du cluster est automatiquement créée lors de l’activation des entrées d’accès. Les rôles ou autorisations supplémentaires ajoutés au ConfigMap (par exemple, rôles IAM personnalisés pour des développeurs ou des services) ne sont pas migrés automatiquement. Pour résoudre ce problème, créez manuellement les entrées d’accès correspondantes.

Mise en route

Déterminez l’identité IAM et la stratégie d’accès que vous souhaitez utiliser.
- Vérification des autorisations des stratégies d’accès
Activez les entrées d’accès EKS sur votre cluster. Vérifiez que vous disposez d’une version de plateforme prise en charge.
- Modifier le mode d’authentification pour utiliser les entrées d’accès
Créez une entrée d’accès qui associe une identité IAM à une autorisation Kubernetes.
- Créer des entrées d’accès
Authentifiez-vous auprès du cluster à l’aide de l’identité IAM.
- Configuration de l’interface de ligne de commande AWS
- Configuration de kubectl et eksctl

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Accès à l’API Kubernetes

Association des stratégies d’accès