Présentation Prérequis Étape 1 : définir l’entrée d’accès Étape 2 : créer une entrée d’accès Étape 3 : attacher la stratégie d’accès Étapes suivantes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Création d’une entrée d’accès pour un rôle ou un utilisateur IAM à l’aide d’une stratégie d’accès et de la CLI AWS

Créez des entrées d’accès Amazon EKS qui utilisent des stratégies d’accès EKS gérées par AWS afin d’accorder aux identités IAM des autorisations standardisées pour accéder aux clusters Kubernetes et les gérer.

Présentation

Les entrées d’accès dans Amazon EKS définissent la manière dont les identités IAM (utilisateurs et rôles) peuvent accéder à vos clusters Kubernetes et interagir avec eux. En créant des entrées d’accès avec des stratégies d’accès EKS, vous pouvez :

Accorder à des utilisateurs ou rôles IAM spécifiques l’accès à votre cluster EKS
Contrôler les autorisations à l’aide des stratégies d’accès EKS gérées par AWS, qui offrent des ensembles d’autorisations standardisés prédéfinis
Limiter les autorisations à des espaces de noms spécifiques ou à l’échelle du cluster
Simplifier la gestion des accès sans modifier le ConfigMap aws-auth ni créer de ressources RBAC Kubernetes
Utiliser une méthode d’accès à Kubernetes intégrée à AWS, couvrant les cas d’utilisation courants tout en respectant les bonnes pratiques de sécurité

Cette méthode est recommandée pour la plupart des cas d’utilisation, car elle fournit des autorisations standardisées gérées par AWS, sans nécessiter de configuration manuelle de RBAC Kubernetes. Les stratégies d’accès EKS éliminent la nécessité de configurer manuellement les ressources RBAC Kubernetes et offrent des ensembles d’autorisations prédéfinis couvrant les cas d’utilisation les plus fréquents.

Prérequis

Le mode d’authentification de votre cluster doit être configuré pour autoriser les entrées d’accès. Pour de plus amples informations, consultez Modifier le mode d’authentification pour utiliser les entrées d’accès.
Installez l’AWS CLI, comme indiqué dans la section Installation du Guide de l’utilisateur de l’interface de la ligne de commande AWS.

Étape 1 : définir l’entrée d’accès

Trouvez l’ARN de l’identité IAM (utilisateur ou rôle) à laquelle vous souhaitez accorder des autorisations.
- Chaque identité IAM ne peut avoir qu’une seule entrée d’accès EKS.
Déterminez si vous souhaitez que les autorisations de la stratégie d’accès Amazon EKS s’appliquent uniquement à un espace de noms Kubernetes spécifique ou à l’ensemble du cluster.
- Si vous souhaitez limiter les autorisations à un espace de noms spécifique, notez le nom de l’espace de noms.
Sélectionnez la stratégie d’accès EKS que vous souhaitez appliquer à l’identité IAM. Cette stratégie accorde des autorisations à l’intérieur du cluster. Notez l’ARN de la stratégie.
- Pour obtenir la liste des stratégie, consultez les stratégies d’accès disponibles.
Déterminez si le nom d’utilisateur généré automatiquement convient à l’entrée d’accès ou si vous devez spécifier manuellement un nom d’utilisateur.
- AWS génère automatiquement cette valeur en fonction de l’identité IAM. Vous pouvez définir un nom d’utilisateur personnalisé. Cela est visible dans les journaux Kubernetes.
- Pour de plus amples informations, consultez Définir un nom d’utilisateur personnalisé pour les entrées d’accès Amazon EKS.

Étape 2 : créer une entrée d’accès

Une fois l’entrée d’accès planifiée, utilisez la CLI AWS pour la créer.

L’exemple ci-dessous couvre la majorité des cas d’utilisation. Affichez la référence de la CLI pour toutes les options de configuration.

Vous attacherez la stratégie d’accès à l’étape suivante.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Étape 3 : attacher la stratégie d’accès

La commande varie selon que vous souhaitiez ou non limiter la stratégie d’accès à un espace de noms Kubernetes.

Vous aurez besoin de l’ARN de la stratégie d’accès. Consultez les stratégies d’accès disponibles.

Création d’une stratégie sans limitation de la portée à un espace de noms


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Création d’une stratégie avec limitation de la portée à un espace de noms


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Étapes suivantes

Création d’un fichier kubeconfig pour utiliser kubectl avec une identité IAM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Définir un nom d’utilisateur personnalisé

Tutoriel : création avec des groupes Kubernetes