Panoramica Prerequisiti Fase 1: definire la voce di accesso Fase 2: creare una voce di accesso con i gruppi Kubernetes Fase 3: configurazione del controllo RBAC Kubernetes Passaggi successivi

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare una voce di accesso utilizzando i gruppi Kubernetes con AWS CLI

Creare voci di accesso Amazon EKS che utilizzano gruppi Kubernetes per l’autorizzazione e richiedono una configurazione di controllo degli accessi basato sul ruolo (RBAC) manuale.

Nota

Per la maggior parte dei casi d’uso, consigliamo di utilizzare le policy di accesso EKS anziché l’approccio con gruppi Kubernetes descritto in questa pagina. Le policy di accesso EKS offrono un modo più semplice e integrato con AWS per gestire l’accesso senza richiedere la configurazione RBAC manuale. Utilizzare l’approccio con gruppi Kubernetes solo quando è necessario un controllo più granulare di quello offerto dalle policy di accesso EKS.

Panoramica

Le voci di accesso definiscono il modo in cui le identità IAM (utenti e ruoli) accedono ai cluster Kubernetes. L’approccio con gruppi Kubernetes concede agli utenti o ai ruoli IAM l’autorizzazione ad accedere al cluster EKS tramite gruppi Kubernetes RBAC standard. Questo metodo richiede la creazione e la gestione di risorse Kubernetes RBAC (Roles, RoleBindings, ClusterRoles e ClusterRoleBindings) ed è consigliato quando sono necessari set di autorizzazioni altamente personalizzati, requisiti di autorizzazione complessi o quando si desidera mantenere modelli di controllo degli accessi coerenti in ambienti Kubernetes ibridi.

Questo argomento non tratta la creazione di voci di accesso per le identità IAM utilizzate dalle istanze Amazon EC2 per unirsi ai cluster EKS.

Prerequisiti

La modalità di autenticazione del cluster deve essere configurata per abilitare le voci di accesso. Per ulteriori informazioni, consulta Cambia la modalità di autenticazione per utilizzare le voci di accesso.
Installare e configurare AWS CLI come descritto nella pagina Installing della Guida per l’utente dell’Interfaccia della linea di comando AWS.
Si consiglia di avere familiarità con il controllo RBAC Kubernetes. Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di Kubernetes.

Fase 1: definire la voce di accesso

Trovare l’ARN dell’identità IAM, come un utente o un ruolo, a cui concedere le autorizzazioni.
- Ogni identità IAM può disporre di una sola voce di accesso EKS.
Determinare quali gruppi Kubernetes devono essere associati a tale identità IAM.
- Sarà necessario creare o utilizzare le risorse Kubernetes Role/ClusterRole e RoleBinding/ClusterRoleBinding esistenti che fanno riferimento a tali gruppi.
Stabilire se il nome utente generato automaticamente è adeguato per la voce di accesso o se è necessario specificarne uno manualmente.
- AWS genera questo valore automaticamente in base all’identità IAM. È possibile impostare un nome utente personalizzato. Tale nome è visibile nei log di Kubernetes.
- Per ulteriori informazioni, consulta Impostazione di un nome utente personalizzato per le voci di accesso EKS.

Fase 2: creare una voce di accesso con i gruppi Kubernetes

Dopo aver definito la voce di accesso, utilizzare AWS CLI per crearla con i gruppi Kubernetes adeguati.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Sostituire:

<cluster-name> con il nome del cluster EKS.
<iam-identity-arn> con l’ARN del ruolo o dell’utente IAM.
<groups> con un elenco separato da virgole di gruppi Kubernetes (ad esempio, “system:developers,system:readers”).

Visualizzare il riferimento CLI per tutte le opzioni di configurazione.

Fase 3: configurazione del controllo RBAC Kubernetes

Affinché il principale IAM abbia accesso agli oggetti Kubernetes nel cluster, è necessario creare e gestire oggetti del controllo degli accessi basato sul ruolo (RBAC) Kubernetes:

Creare oggetti Kubernetes Role o ClusterRole che definiscono le autorizzazioni.
Creare oggetti Kubernetes RoleBinding o ClusterRoleBinding nel cluster che specificano il nome del gruppo come subject per kind: Group.

Per informazioni dettagliate sulla configurazione di gruppi e autorizzazioni in Kubernetes, consultare Using RBAC Authorization nella documentazione di Kubernetes.

Passaggi successivi

Create a kubeconfig so you can use kubectl with an IAM identity

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tutorial: Creare con le policy di accesso

aws-auth ConfigMap