Présentation Prérequis Étape 1 : définir l’entrée d’accès Étape 2 : créer une entrée d’accès avec des groupes Kubernetes Étape 3 : configurer RBAC Kubernetes Étapes suivantes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Création d’une entrée d’accès à l’aide des groupes Kubernetes avec la CLI AWS

Créer des entrées d’accès Amazon EKS qui utilisent les groupes Kubernetes pour l’autorisation et nécessitent une configuration RBAC manuelle.

Note

Dans la plupart des cas d’utilisation, nous recommandons d’utiliser les stratégies d’accès EKS plutôt que la méthode basée sur les groupes Kubernetes décrite dans cette page. Les stratégies d’accès EKS offrent une méthode plus simple et mieux intégrée à AWS pour gérer l’accès sans nécessiter de configuration RBAC manuelle. Utilisez l’approche basée sur les groupes Kubernetes uniquement lorsque vous avez besoin d’un contrôle plus granulaire que celui offert par les stratégies d’accès EKS.

Présentation

Les entrées d’accès définissent la manière dont les identités IAM (utilisateurs et rôles) accèdent à vos clusters Kubernetes. L’approche basée sur les groupes Kubernetes accorde aux utilisateurs ou rôles IAM l’autorisation d’accéder à votre cluster EKS via les groupes RBAC standard de Kubernetes. Cette méthode implique la création et la gestion des ressources RBAC Kubernetes (Roles, RoleBindings, ClusterRoles et ClusterRoleBindings) et est recommandée lorsque vous avez besoin d’ensembles d’autorisations très personnalisés, d’exigences d’autorisation complexes ou que vous souhaitez maintenir des modèles de contrôle d’accès cohérents dans des environnements Kubernetes hybrides.

Cette rubrique ne couvre pas la création d’entrées d’accès pour les identités IAM utilisées par les instances Amazon EC2 afin de rejoindre les clusters EKS.

Prérequis

Le mode d’authentification de votre cluster doit être configuré pour autoriser les entrées d’accès. Pour de plus amples informations, consultez Modifier le mode d’authentification pour utiliser les entrées d’accès.
Installez l’AWS CLI, comme indiqué dans la section Installation du Guide de l’utilisateur de l’interface de la ligne de commande AWS.
Une bonne connaissance de la configuration RBAC Kubernetes est recommandée. Pour plus d'informations, consultez Utilisation de l'autorisation RBAC dans la documentation Kubernetes.

Étape 1 : définir l’entrée d’accès

Recherchez l’ARN de l’identité IAM, comme un utilisateur ou un rôle, à laquelle vous souhaitez accorder des autorisations.
- Chaque identité IAM ne peut avoir qu’une seule entrée d’accès EKS.
Déterminez les groupes Kubernetes que vous souhaitez associer à cette identité IAM.
- Vous devrez créer ou utiliser des ressources Kubernetes Role/ClusterRole et RoleBinding/ClusterRoleBinding qui référencent ces groupes.
Déterminez si le nom d’utilisateur généré automatiquement convient à l’entrée d’accès ou si vous devez spécifier manuellement un nom d’utilisateur.
- AWS génère automatiquement cette valeur en fonction de l’identité IAM. Vous pouvez définir un nom d’utilisateur personnalisé. Cela est visible dans les journaux Kubernetes.
- Pour de plus amples informations, consultez Définir un nom d’utilisateur personnalisé pour les entrées d’accès Amazon EKS.

Étape 2 : créer une entrée d’accès avec des groupes Kubernetes

Après avoir planifié l’entrée d’accès, utilisez la CLI AWS pour la créer avec les groupes Kubernetes appropriés.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Remplacez :

<cluster-name> par le nom de votre cluster EKS
<iam-identity-arn> par l’ARN de l’utilisateur ou du rôle IAM
<groups> par une liste de groupes Kubernetes séparés par des virgules (par exemple : « system:developers,system:readers »)

Affichez la référence de la CLI pour toutes les options de configuration.

Étape 3 : configurer RBAC Kubernetes

Pour permettre au principal IAM d’accéder aux objets Kubernetes de votre cluster, vous devez créer et gérer les objets de contrôle d’accès basé sur les rôles (RBAC) dans Kubernetes :

Créez des objets Kubernetes Role ou ClusterRole qui définissent les autorisations.
Créez des objets Kubernetes RoleBinding ou ClusterRoleBinding sur votre cluster qui spécifient le nom du groupe sous forme de subject pour kind: Group.

Pour des informations détaillées sur la configuration des groupes et des autorisations dans Kubernetes, consultez la section Utilisation de l’autorisation RBAC dans la documentation Kubernetes.

Étapes suivantes

Création d’un fichier kubeconfig pour utiliser kubectl avec une identité IAM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Tutoriel : création avec stratégie d’accès

aws-auth ConfigMap