Lihat sumber daya Kubernetes di Konsol Manajemen AWS - Amazon EKS
Izin yang diperlukanCloudTrail visibilitas

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lihat sumber daya Kubernetes di Konsol Manajemen AWS

Anda dapat melihat sumber daya Kubernetes yang diterapkan ke klaster Anda dengan file. Konsol Manajemen AWSAnda tidak dapat melihat sumber daya Kubernetes dengan CLI AWS atau eksctl. Untuk melihat sumber daya Kubernetes menggunakan alat baris perintah, gunakan kubectl.

catatan

Untuk melihat tab Resources dan bagian Nodes pada tab Compute di Konsol Manajemen AWS, prinsipal IAM yang Anda gunakan harus memiliki izin IAM dan Kubernetes tertentu. Untuk informasi selengkapnya, lihat Izin yang diperlukan.

  1. Buka konsol Amazon EKS.

  2. Dalam daftar Clusters, pilih cluster yang berisi resource Kubernetes yang ingin Anda lihat.

  3. Pilih tab Sumber Daya.

  4. Pilih grup tipe sumber daya yang ingin Anda lihat sumber daya, seperti Beban kerja. Anda melihat daftar jenis sumber daya di grup itu.

  5. Pilih jenis sumber daya, seperti Deployment, di grup Beban kerja. Anda melihat deskripsi tipe sumber daya, tautan ke dokumentasi Kubernetes untuk informasi lebih lanjut tentang tipe sumber daya, dan daftar sumber daya dari jenis tersebut yang digunakan di klaster Anda. Jika daftar kosong, maka tidak ada sumber daya dari jenis itu yang diterapkan ke cluster Anda.

  6. Pilih sumber daya untuk melihat informasi lebih lanjut tentangnya. Coba contoh berikut:

    • Pilih grup Beban kerja, pilih jenis sumber daya Deployment, lalu pilih sumber daya coredns. Ketika Anda memilih sumber daya, Anda berada dalam tampilan Terstruktur, secara default. Untuk beberapa jenis sumber daya, Anda melihat bagian Pod dalam tampilan Terstruktur. Bagian ini mencantumkan Pod yang dikelola oleh beban kerja. Anda dapat memilih Pod yang terdaftar untuk melihat informasi tentang Pod. Tidak semua jenis sumber daya menampilkan informasi dalam Tampilan Terstruktur. Jika Anda memilih tampilan Raw di sudut kanan atas halaman untuk sumber daya, Anda akan melihat respons JSON lengkap dari API Kubernetes untuk sumber daya.

    • Pilih grup Cluster dan kemudian pilih jenis sumber daya Node. Anda melihat daftar semua node di cluster Anda. Node dapat berupa jenis simpul Amazon EKS. Ini adalah daftar yang sama yang Anda lihat di bagian Nodes ketika Anda memilih tab Compute untuk cluster Anda. Pilih sumber daya node dari daftar. Dalam tampilan Terstruktur, Anda juga melihat bagian Pod. Bagian ini menunjukkan kepada Anda semua Pod yang berjalan pada node.

Izin yang diperlukan

Untuk melihat tab Resources dan bagian Nodes pada tab Compute di Konsol Manajemen AWS, prinsipal IAM yang Anda gunakan harus memiliki izin IAM dan Kubernetes minimum tertentu. Anda harus memiliki izin IAM dan Kubernetes RBAC yang dikonfigurasi dengan benar. Selesaikan langkah-langkah berikut untuk menetapkan izin yang diperlukan untuk kepala sekolah IAM Anda.

  1. Pastikan bahwaeks:AccessKubernetesApi, dan izin IAM lain yang diperlukan untuk melihat sumber daya Kubernetes, ditetapkan ke prinsipal IAM yang Anda gunakan. Untuk informasi selengkapnya tentang cara mengedit izin untuk prinsipal IAM, lihat Mengontrol akses untuk prinsipal di Panduan Pengguna IAM. Untuk informasi selengkapnya tentang cara mengedit izin untuk peran, lihat Memodifikasi kebijakan izin peran (konsol) di Panduan Pengguna IAM.

    Contoh kebijakan berikut mencakup izin yang diperlukan bagi prinsipal untuk melihat sumber daya Kubernetes untuk semua klaster di akun Anda. Ganti 111122223333 dengan ID AWS akun Anda.

    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks:ListFargateProfiles",
                "eks:DescribeNodegroup",
                "eks:ListNodegroups",
                "eks:ListUpdates",
                "eks:AccessKubernetesApi",
                "eks:ListAddons",
                "eks:DescribeCluster",
                "eks:DescribeAddonVersions",
                "eks:ListClusters",
                "eks:ListIdentityProviderConfigs",
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:GetParameter",
            "Resource": "arn:aws:ssm:*:111122223333:parameter/*"
        }
    ]
}

    Untuk melihat node dalam cluster yang terhubung, peran IAM konektor Amazon EKS harus dapat meniru prinsipal di cluster. Hal ini memungkinkan Amazon EKS Connector untuk memetakan prinsipal ke pengguna Kubernetes.

  2. Konfigurasikan izin Kubernetes RBAC menggunakan entri akses EKS.

    Apa itu Entri Akses EKS?

    Entri akses EKS adalah cara yang efisien untuk memberikan akses kepada prinsipal IAM (pengguna dan peran) ke klaster Kubernetes Anda. Alih-alih mengelola sumber daya Kubernetes RBAC secara manual dan aws-auth ConfigMap, entri akses secara otomatis menangani pemetaan antara izin IAM dan Kubernetes menggunakan kebijakan terkelola yang disediakan oleh. AWS Untuk informasi rinci tentang entri akses, lihatBerikan akses kepada pengguna IAM ke Kubernetes dengan entri akses EKS. Untuk informasi tentang kebijakan akses yang tersedia dan izinnya, lihat Izin kebijakan akses.

    Anda dapat melampirkan izin Kubernetes untuk mengakses entri dengan dua cara:

    • Gunakan kebijakan akses: Kebijakan akses adalah templat izin Kubernetes yang telah ditentukan sebelumnya yang dikelola oleh. AWS Ini menyediakan set izin standar untuk kasus penggunaan umum.

    • Mereferensikan grup Kubernetes: Jika Anda mengaitkan identitas IAM dengan grup Kubernetes, Anda dapat membuat sumber daya Kubernetes yang memberikan izin grup. Untuk informasi selengkapnya, lihat Menggunakan Otorisasi RBAC dalam dokumentasi Kubernetes.

      1. Buat entri akses untuk prinsipal IAM Anda menggunakan AWS CLI. Ganti my-cluster dengan nama klaster Anda. Ganti 111122223333 dengan ID akun Anda.

        aws eks create-access-entry \
    --cluster-name my-cluster \
    --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role

        Contoh output adalah sebagai berikut.

        {
    "accessEntry": {
        "clusterName": "my-cluster",
        "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role",
        "kubernetesGroups": [],
        "accessEntryArn": "arn:aws: eks:region-code:111122223333:access-entry/my-cluster/role/111122223333/my-console-viewer-role/abc12345-1234-1234-1234-123456789012",
        "createdAt": "2024-03-15T10:30:45.123000-07:00",
        "modifiedAt": "2024-03-15T10:30:45.123000-07:00",
        "tags": {},
        "username": "arn:aws: iam::111122223333:role/my-console-viewer-role",
        "type": "STANDARD"
    }
}

      2. Kaitkan kebijakan dengan entri akses. Untuk melihat sumber daya Kubernetes, gunakan: AmazonEKSViewPolicy

        aws eks associate-access-policy \
    --cluster-name my-cluster \
    --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \
    --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \
    --access-scope type=cluster

        Contoh output adalah sebagai berikut.

        {
    "clusterName": "my-cluster",
    "principalArn": "arn:aws: iam::111122223333:role/my-console-viewer-role",
    "associatedAt": "2024-03-15T10:31:15.456000-07:00"
}

        Untuk akses khusus ruang nama, Anda dapat membuat cakupan kebijakan ke ruang nama tertentu:

        aws eks associate-access-policy \
    --cluster-name my-cluster \
    --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role \
    --policy-arn arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy \
    --access-scope type=namespace,namespaces=default,kube-system

      3. Verifikasi entri akses berhasil dibuat:

        aws eks describe-access-entry \
    --cluster-name my-cluster \
    --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role

      4. Buat daftar kebijakan terkait untuk mengonfirmasi asosiasi kebijakan:

        aws eks list-associated-access-policies \
    --cluster-name my-cluster \
    --principal-arn arn:aws: iam::111122223333:role/my-console-viewer-role

        Contoh output adalah sebagai berikut.

        {
    "associatedAccessPolicies": [
        {
            "policyArn": "arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy",
            "accessScope": {
                "type": "cluster"
            },
            "associatedAt": "2024-03-15T10:31:15.456000-07:00",
            "modifiedAt": "2024-03-15T10:31:15.456000-07:00"
        }
    ]
}

CloudTrail visibilitas

Saat melihat sumber daya Kubernetes, Anda akan melihat nama operasi berikut di log Anda: CloudTrail

  • AccessKubernetesApi- Saat membaca atau melihat sumber daya

CloudTrail Acara ini menyediakan jejak audit akses baca ke sumber daya Kubernetes Anda.

catatan

Nama operasi ini muncul di CloudTrail log untuk tujuan audit saja. Ini bukan tindakan IAM dan tidak dapat digunakan dalam pernyataan kebijakan IAM. Untuk mengontrol akses baca ke sumber daya Kubernetes melalui kebijakan IAM, gunakan eks:AccessKubernetesApi izin seperti yang ditunjukkan di bagian. Izin yang diperlukan