Panoramica Funzionalità Come allegare le autorizzazioni Considerazioni Inizia a usare

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concedere agli utenti IAM l’accesso a Kubernetes con le voci di accesso EKS

Questa sezione è progettata per mostrarti come gestire l’accesso principale IAM ai cluster di Kubernetes in Amazon Elastic Kubernetes Service (EKS) utilizzando voci di accesso e policy. Sono disponibili dettagli sulla modifica delle modalità di autenticazione, la migrazione da voci aws-auth ConfigMap precedenti, la creazione, l’aggiornamento e l’eliminazione delle voci di accesso, l’associazione delle policy alle voci, la revisione delle autorizzazioni delle policy predefinite e i prerequisiti e le considerazioni chiave per la gestione sicura degli accessi.

Panoramica

Le voci di accesso EKS sono il modo migliore per concedere agli utenti l’accesso all’API Kubernetes. Ad esempio, puoi utilizzare le voci di accesso per concedere agli sviluppatori l’accesso all’uso di kubectl. Fondamentalmente, una voce di accesso EKS associa un set di autorizzazioni di Kubernetes a un’identità IAM, ad esempio un ruolo IAM. Ad esempio, uno sviluppatore può assumere un ruolo IAM e utilizzarlo per autenticarsi in un cluster EKS.

Funzionalità

Autenticazione e autorizzazione centralizzate: controlla l’accesso ai cluster di Kubernetes direttamente tramite le API di Amazon EKS, eliminando la necessità di passare fra AWS e le API Kubernetes per le autorizzazioni utente.
Gestione granulare delle autorizzazioni: utilizza le voci e le policy di accesso per definire autorizzazioni granulari per i principali IAM AWS, inclusa la modifica o la revoca dell’accesso da amministratore del cluster dal creatore.
Integrazione con strumenti IaC: supporta l’infrastruttura sotto forma di strumenti di codice come AWS CloudFormation, Terraform e AWS CDK per definire le configurazioni di accesso durante la creazione del cluster.
Ripristino della configurazione errata: consente di ripristinare l’accesso al cluster tramite l’API Amazon EKS senza accesso diretto all’API Kubernetes.
Sovraccarico ridotto e sicurezza avanzata: centralizza le operazioni per ridurre il sovraccarico sfruttando al contempo funzionalità IAM AWS come la registrazione degli audit CloudTrail e l’autenticazione a più fattori.

Come allegare le autorizzazioni

Puoi allegare le autorizzazioni Kubernetes per accedere alle voci in due modi:

Utilizzare una policy di accesso. Le policy di accesso sono modelli di autorizzazioni di Kubernetes predefiniti gestiti da AWS. Per ulteriori informazioni, consulta Rivedere le autorizzazioni della policy di accesso.
Fare riferimento a un gruppo di Kubernetes. Se associ un’identità IAM a un gruppo di Kubernetes, puoi creare risorse di Kubernetes che concedono le autorizzazioni al gruppo. Per ulteriori informazioni, consulta Using RBAC Authorization nella documentazione di Kubernetes.

Considerazioni

Quando si abilitano le voci di accesso EKS sui cluster esistenti, tenere presente quanto segue:

Comportamento legacy dei cluster: per i cluster creati prima dell’introduzione delle voci di accesso (quelli con versioni iniziali della piattaforma precedenti a quelle specificate in Platform version requirements), EKS crea automaticamente una voce di accesso che riflette le autorizzazioni preesistenti. Questa voce include l’identità IAM che ha originariamente creato il cluster e le autorizzazioni amministrative concesse a tale identità durante la creazione del cluster.
Gestione di aws-auth ConfigMap legacy: se il cluster si basa su aws-auth ConfigMap legacy per la gestione degli accessi, dopo aver abilitato le voci di accesso, viene creata automaticamente solo la voce di accesso per il creatore del cluster originale. I ruoli o le autorizzazioni aggiuntivi aggiunti a ConfigMap (ad esempio, ruoli IAM personalizzati per sviluppatori o servizi) non vengono migrati automaticamente. Per risolvere questo problema, creare manualmente le voci di accesso corrispondenti.

Inizia a usare

Determina l’identità IAM e la policy di accesso che desideri utilizzare.
- Rivedere le autorizzazioni della policy di accesso
Abilita le voci di accesso EKS sul cluster. Conferma di avere una versione della piattaforma supportata.
- Cambia la modalità di autenticazione per utilizzare le voci di accesso
Creare una voce di accesso che associ un’identità IAM all’autorizzazione di Kubernetes.
- Creare voci di accesso
Effettuare l’autenticazione nel cluster utilizzando l’identità IAM.
- Configurazione di AWS CLI
- Impostazione di kubectl e eksctl

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accesso API Kubernetes

Associare le policy di accesso