Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Consultez les ressources Kubernetes dans le AWS Management Console
Vous pouvez afficher les ressources Kubernetes déployées sur votre cluster avec la AWS Management Console. Vous ne pouvez pas afficher les ressources Kubernetes avec la AWS CLI ou eksctl.
Note
Pour afficher l'onglet Ressources et la section Nœuds de l'onglet Compute du AWS Management Console, le principal IAM que vous utilisez doit disposer d'autorisations IAM et Kubernetes spécifiques. Pour de plus amples informations, veuillez consulter Autorisations requises.
-
Ouvrez la console Amazon EKS
. -
Dans la liste Clusters, sélectionnez le cluster qui contient les ressources Kubernetes que vous souhaitez afficher.
-
Sélectionnez l'onglet Resources (Ressources).
-
Sélectionnez un groupe Resource type (Type de ressource) pour lequel vous souhaitez afficher les ressources, comme Workloads (Charges de travail). Vous voyez une liste des types de ressources dans ce groupe.
-
Sélectionnez un type de ressource, tel que Deployments (Déploiements), dans le groupe Workloads (Charges de travail). Vous voyez une description du type de ressource, un lien vers la documentation Kubernetes pour plus d'informations sur le type de ressource et une liste des ressources de ce type qui sont déployées sur votre cluster. Si la liste est vide, aucune ressource de ce type n'est déployée sur votre cluster.
-
Sélectionnez une ressource pour afficher plus d'informations à son sujet. Essayez les exemples suivants :
-
Sélectionnez le groupe Workloads (Charges de travail), sélectionnez le type de ressource Deployments (Déploiements), puis sélectionnez la ressource coredns. Lorsque vous sélectionnez une ressource, vous êtes dans Structured view (Vue structurée), par défaut. Pour certains types de ressources, vous voyez une section Pod dans Structured view (Vue structurée). Cette section répertorie les pods gérés par la charge de travail. Vous pouvez sélectionner n’importe quel pod répertorié pour afficher des informations à son sujet. Tous les types de ressources n'affichent pas d'informations dans Structured View (Vue structurée). Si vous sélectionnez Raw view (Vue brute) dans le coin supérieur droit de la page de la ressource, vous voyez la réponse JSON complète de l'API Kubernetes pour la ressource.
-
Sélectionnez le groupe Cluster, puis sélectionnez le type de ressource Nodes (Nœuds). Vous voyez une liste de tous les nœuds de votre cluster. Les nœuds peuvent être n'importe quel type de nœud Amazon EKS. Il s'agit de la même liste que celle que vous voyez dans la section Nodes (Nœuds) lorsque vous sélectionnez l'onglet Compute (Calcul) pour votre cluster. Sélectionnez une ressource de nœud dans la liste. Dans Structured view (Vue structurée), vous voyez également une section Pod. Cette section vous montre tous les pods s’exécutant sur le nœud.
-
Autorisations requises
Pour afficher l'onglet Ressources et la section Nœuds de l'onglet Compute du AWS Management Console, le principal IAM que vous utilisez doit disposer d'autorisations IAM et Kubernetes minimales spécifiques. Les autorisations IAM et Kubernetes RBAC doivent être correctement configurées. Procédez comme suit pour accorder les autorisations requises à vos principaux IAM.
-
Veuillez vous assurer que les autorisations
eks:AccessKubernetesApiet autres autorisations IAM nécessaires pour afficher les ressources Kubernetes sont attribuées au principal IAM que vous utilisez. Pour plus d'informations sur la modification des autorisations d'un principal IAM, consultez la rubrique Contrôle de l'accès des principaux du Guide de l'utilisateur IAM. Pour plus d'informations sur la modification des autorisations pour un rôle, consultez Modification d'une politique d'autorisations de rôle (console) dans le guide de l'utilisateur IAM.L’exemple de politique suivant inclut les autorisations nécessaires pour qu’un principal puisse afficher les ressources Kubernetes pour tous les clusters de votre compte. Remplacez
111122223333par votre identifiant de AWS compte.{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks:ListFargateProfiles", "eks:DescribeNodegroup", "eks:ListNodegroups", "eks:ListUpdates", "eks:AccessKubernetesApi", "eks:ListAddons", "eks:DescribeCluster", "eks:DescribeAddonVersions", "eks:ListClusters", "eks:ListIdentityProviderConfigs", "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:GetParameter", "Resource": "arn:aws:ssm:*:111122223333:parameter/*" } ] }Pour afficher les nœuds des clusters connectés, le rôle IAM du connecteur Amazon EKS doit être en mesure d'emprunter l'identité du principal dans le cluster. Cela permet à Amazon EKS Connector de mapper le principal à un utilisateur Kubernetes.
-
Configurez les autorisations RBAC Kubernetes à l'aide des entrées d'accès EKS.
Que sont les entrées EKS Access ?
Les entrées d'accès EKS constituent un moyen simplifié d'accorder aux principaux IAM (utilisateurs et rôles) l'accès à votre cluster Kubernetes. Au lieu de gérer manuellement les ressources Kubernetes RBAC et les entrées d'accès gèrent automatiquement le
aws-authConfigMap mappage entre les autorisations IAM et Kubernetes à l'aide des politiques gérées fournies par. AWS Pour des informations détaillées sur les entrées d'accès, voirAttribution de l’accès Kubernetes aux utilisateurs IAM avec les entrées d’accès EKS. Pour plus d'informations sur les politiques d'accès disponibles et leurs autorisations, consultez la section Autorisations relatives aux politiques d'accès.Vous pouvez attacher des autorisations Kubernetes aux entrées d’accès de deux façons :
-
Utiliser une politique d'accès : les politiques d'accès sont des modèles d'autorisations Kubernetes prédéfinis gérés par. AWS Ils fournissent des ensembles d'autorisations standardisés pour les cas d'utilisation courants.
-
Référencer un groupe Kubernetes : si vous associez une identité IAM à un groupe Kubernetes, vous pouvez créer des ressources Kubernetes qui accordent des autorisations au groupe. Pour plus d'informations, consultez Utilisation de l'autorisation RBAC
dans la documentation Kubernetes. -
Créez une entrée d'accès pour votre principal IAM à l'aide de la AWS CLI. Remplacez
my-clusterpar le nom de votre cluster. Remplacez111122223333par votre ID de compte.aws eks create-access-entry \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-roleL'exemple qui suit illustre un résultat.
{ "accessEntry": { "clusterName": "my-cluster", "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role", "kubernetesGroups": [], "accessEntryArn": "arn:aws: eks:region-code:111122223333:access-entry/my-cluster/role/111122223333/my-console-viewer-role/abc12345-1234-1234-1234-123456789012", "createdAt": "2024-03-15T10:30:45.123000-07:00", "modifiedAt": "2024-03-15T10:30:45.123000-07:00", "tags": {}, "username": "arn:aws: iam::111122223333:role/my-console-viewer-role", "type": "STANDARD" } } -
Associez une politique à l'entrée d'accès. Pour consulter les ressources Kubernetes, utilisez :
AmazonEKSViewPolicyaws eks associate-access-policy \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \ --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \ --access-scope type=clusterL'exemple qui suit illustre un résultat.
{ "clusterName": "my-cluster", "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role", "associatedAt": "2024-03-15T10:31:15.456000-07:00" }Pour un accès spécifique à un espace de noms, vous pouvez étendre la politique à des espaces de noms spécifiques :
aws eks associate-access-policy \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \ --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \ --access-scope type=namespace,namespaces=default,kube-system -
Vérifiez que l'entrée d'accès a bien été créée :
aws eks describe-access-entry \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role -
Répertoriez les politiques associées pour confirmer l'association des politiques :
aws eks list-associated-access-policies \ --cluster-name my-cluster \ --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-roleL'exemple qui suit illustre un résultat.
{ "associatedAccessPolicies": [ { "policyArn": "arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy", "accessScope": { "type": "cluster" }, "associatedAt": "2024-03-15T10:31:15.456000-07:00", "modifiedAt": "2024-03-15T10:31:15.456000-07:00" } ] }
-
-
CloudTrail visibilité
Lorsque vous consultez les ressources Kubernetes, le nom de l'opération suivant apparaît dans vos journaux : CloudTrail
-
AccessKubernetesApi- Lorsque vous lisez ou consultez des ressources
Cet CloudTrail événement fournit une piste d'audit de l'accès en lecture à vos ressources Kubernetes.
Note
Ce nom d'opération apparaît dans les CloudTrail journaux à des fins d'audit uniquement. Il ne s'agit pas d'une action IAM et ne peut pas être utilisée dans les déclarations de politique IAM. Pour contrôler l'accès en lecture aux ressources Kubernetes par le biais de politiques IAM, utilisez l'eks:AccessKubernetesApiautorisation indiquée dans la section. Autorisations requises
