Berikan akses kepada pengguna IAM ke Kubernetes dengan entri akses EKS - Amazon EKS
Gambaran UmumFiturCara melampirkan izinPertimbanganMemulai

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berikan akses kepada pengguna IAM ke Kubernetes dengan entri akses EKS

Bagian ini dirancang untuk menunjukkan kepada Anda cara mengelola akses utama IAM ke klaster Kubernetes di Amazon Elastic Kubernetes Service (EKS) menggunakan entri akses dan kebijakan. Anda akan menemukan detail tentang mengubah mode autentikasi, bermigrasi dari aws-auth ConfigMap entri lama, membuat, memperbarui, dan menghapus entri akses, mengaitkan kebijakan dengan entri, meninjau izin kebijakan yang telah ditentukan sebelumnya, serta prasyarat dan pertimbangan utama untuk manajemen akses yang aman.

Gambaran Umum

Entri akses EKS adalah cara terbaik untuk memberikan pengguna akses ke Kubernetes API. Misalnya, Anda dapat menggunakan entri akses untuk memberi pengembang akses untuk menggunakan kubectl. Pada dasarnya, entri akses EKS mengaitkan satu set izin Kubernetes dengan identitas IAM, seperti peran IAM. Misalnya, pengembang dapat mengambil peran IAM dan menggunakannya untuk mengautentikasi ke Kluster EKS.

Fitur

  • Otentikasi dan Otorisasi Terpusat: Mengontrol akses ke klaster Kubernetes secara langsung melalui Amazon APIs EKS, menghilangkan kebutuhan untuk beralih AWS antara dan Kubernetes untuk izin pengguna. APIs

  • Manajemen Izin Granular: Menggunakan entri akses dan kebijakan untuk menentukan izin berbutir halus untuk prinsipal AWS IAM, termasuk memodifikasi atau mencabut akses cluster-admin dari pembuatnya.

  • Integrasi Alat IAC: Mendukung infrastruktur sebagai alat kode seperti AWS CloudFormation, Terraform, dan AWS CDK untuk menentukan konfigurasi akses selama pembuatan cluster.

  • Misconfiguration Recovery: Memungkinkan pemulihan akses klaster melalui Amazon EKS API tanpa akses API Kubernetes langsung.

  • Pengurangan Overhead dan Keamanan yang Ditingkatkan: Memusatkan operasi untuk menurunkan overhead sambil memanfaatkan fitur AWS IAM seperti pencatatan CloudTrail audit dan otentikasi multi-faktor.

Cara melampirkan izin

Anda dapat melampirkan izin Kubernetes untuk mengakses entri dengan dua cara:

  • Gunakan kebijakan akses. Kebijakan akses adalah templat izin Kubernetes yang telah ditentukan sebelumnya yang dikelola oleh. AWS Untuk informasi selengkapnya, lihat Tinjau izin kebijakan akses.

  • Referensi grup Kubernetes. Jika Anda mengaitkan Identitas IAM dengan grup Kubernetes, Anda dapat membuat sumber daya Kubernetes yang memberikan izin grup. Untuk informasi selengkapnya, lihat Menggunakan Otorisasi RBAC dalam dokumentasi Kubernetes.

Pertimbangan

Saat mengaktifkan entri akses EKS pada kluster yang ada, ingatlah hal berikut:

  • Perilaku Cluster Legacy: Untuk kluster yang dibuat sebelum pengenalan entri akses (yang memiliki versi platform awal lebih awal dari yang ditentukan dalam persyaratan versi Platform), EKS secara otomatis membuat entri akses yang mencerminkan izin yang sudah ada sebelumnya. Entri ini mencakup identitas IAM yang awalnya membuat cluster dan izin administratif yang diberikan kepada identitas tersebut selama pembuatan klaster.

  • Menangani Legacy aws-auth ConfigMap: Jika klaster Anda bergantung pada warisan aws-auth ConfigMap untuk manajemen akses, hanya entri akses untuk pembuat klaster asli yang dibuat secara otomatis setelah mengaktifkan entri akses. Peran atau izin tambahan yang ditambahkan ke ConfigMap (misalnya, peran IAM khusus untuk pengembang atau layanan) tidak dimigrasikan secara otomatis. Untuk mengatasinya, buat entri akses yang sesuai secara manual.

Memulai

  1. Tentukan kebijakan Identitas dan Akses IAM yang ingin Anda gunakan.

  2. Aktifkan Entri Akses EKS di klaster Anda. Konfirmasikan bahwa Anda memiliki versi platform yang didukung.

  3. Buat entri akses yang mengaitkan Identitas IAM dengan izin Kubernetes.

  4. Otentikasi ke cluster menggunakan identitas IAM.