Aidez à améliorer cette page
Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.
Présentation du fonctionnement du contrôle d’accès dans Amazon EKS
Découvrez comment gérer l’accès à votre cluster Amazon EKS. L’utilisation d’Amazon EKS nécessite de connaître le fonctionnement du contrôle d’accès dans Kubernetes et dans la gestion des identités et des accès AWS (AWS IAM).
Contenu de cette section :
Autoriser les utilisateurs et les rôles IAM à accéder aux API Kubernetes : découvrez comment permettre à des applications ou des utilisateurs de s’authentifier auprès de l’API Kubernetes. Vous pouvez utiliser des entrées d’accès, le ConfigMap aws-auth ou un fournisseur OIDC externe.
Affichage des ressources Kubernetes dans la AWS Management Console : découvrez comment configurer la AWS Management Console pour communiquer avec votre cluster Amazon EKS. Utilisez la console pour consulter les ressources Kubernetes du cluster, telles que les espaces de noms, les nœuds et les pods.
Connexion de kubectl à un cluster EKS en créant un fichier kubeconfig : découvrez comment configurer kubectl pour communiquer avec votre cluster Amazon EKS. Utilisez la CLI AWS pour créer un fichier kubeconfig.
Accorder aux charges de travail Kubernetes l’accès à AWS à l’aide des comptes de service Kubernetes : découvrez comment associer un compte de service Kubernetes à des rôles IAM AWS. Vous pouvez utiliser les rôles d’identité du pod ou IAM pour les comptes de service (IRSA).
Tâches courantes
-
Accordez aux développeurs l’accès à l’API Kubernetes. Consultez les ressources Kubernetes dans la AWS Management Console.
-
Solution : utilisez des entrées d’accès pour associer les autorisations Kubernetes RBAC aux utilisateurs ou rôles IAM AWS.
-
-
Configurez kubectl pour communiquer avec un cluster Amazon EKS en utilisant les informations d’identification AWS.
-
Solution : utilisez la CLI AWS pour créer un fichier kubeconfig.
-
-
Utilisez un fournisseur d’identité externe, comme Ping Identity, pour authentifier les utilisateurs auprès de l’API Kubernetes.
-
Solution : associez un fournisseur OIDC externe.
-
-
Donnez aux charges de travail de votre cluster Kubernetes la possibilité d’appeler des API AWS.
-
Solution : utilisez l’identité du pod pour associer un rôle IAM AWS à un compte de service Kubernetes.
-
Contexte
-
Découvrez comment fonctionnent les comptes de service Kubernetes.
-
Examen du modèle de contrôle d’accès basé sur les rôles (RBAC) de Kubernetes
-
Pour plus d’informations sur la gestion de l’accès aux ressources AWS, consultez le Guide de l’utilisateur IAM AWS. Vous pouvez également suivre gratuitement une formation d’introduction à l’utilisation d’AWS IAM
.
Considérations relatives au mode automatique EKS
Le mode automatique EKS s’intègre à l’identité du pod EKS ainsi qu’aux entrées d’accès EKS.
-
Le mode automatique EKS utilise les entrées d’accès pour accorder au plan de contrôle EKS des autorisations Kubernetes. Par exemple, les stratégies d’accès permettent au mode automatique EKS de lire les informations concernant les points de terminaison réseau et les services.
-
Vous ne pouvez pas désactiver les entrées d’accès sur un cluster du mode automatique EKS.
-
Vous pouvez éventuellement activer le
ConfigMapaws-auth. -
Les entrées d’accès pour le mode automatique EKS sont configurées automatiquement. Vous pouvez consulter ces entrées d’accès, mais vous ne pouvez pas les modifier.
-
Si vous utilisez une NodeClass afin de créer un rôle IAM personnalisé pour les nœuds, vous devez créer une entrée d’accès pour ce rôle en utilisant la stratégie d’accès AmazonEKSAutoNodePolicy.
-
-
Si vous souhaitez accorder des autorisations aux charges de travail pour les services AWS, utilisez l’identité du pod EKS.
-
Il n’est pas nécessaire d’installer l’agent d’identité du pod sur les clusters du mode automatique EKS.
-
