Panoramica Prerequisiti Fase 1: definire la voce di accesso Fase 2: creare una voce di accesso Fase 3: associare la policy di accesso Passaggi successivi

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una voce di accesso per un utente o un ruolo IAM usando una policy di accesso e la AWS CLI

Crea voci di accesso Amazon EKS che usano le policy di accesso EKS gestite da AWS per dare alle identità IAM autorizzazioni standardizzate per accedere e gestire i cluster Kubernetes.

Panoramica

Le voci di accesso in Amazon EKS definiscono il modo in cui le identità IAM (utenti e ruoli) possono accedere ai cluster Kubernetes e interagire con essi. Creando voci di accesso con le policy di accesso EKS, puoi:

Concedere a utenti o a ruoli IAM specifici l’autorizzazione ad accedere al tuo cluster EKS
Controllare le autorizzazioni usando policy di accesso EKS gestite da AWS che forniscono set di autorizzazioni standardizzati e predefiniti
Limitare le autorizzazioni a namespace specifici o a tutto il cluster
Semplificare la gestione degli accessi senza modificare il ConfigMap aws-auth o creare risorse Kubernetes RBAC
Usare l’approccio integrato con AWS al controllo degli accessi Kubernetes che copre i casi d’uso più comuni, mantenendo al contempo le migliori pratiche di sicurezza.

Questo approccio è consigliato per la maggior parte dei casi d’uso perché fornisce autorizzazioni standardizzate gestite da AWS senza richiedere la configurazione manuale di Kubernetes RBAC. Le policy di accesso EKS eliminano la necessità di configurare manualmente le risorse Kubernetes RBAC e forniscono set di autorizzazioni predefiniti che coprono casi d’uso comuni.

Prerequisiti

La modalità di autenticazione del cluster deve essere configurata per abilitare le voci di accesso. Per ulteriori informazioni, consulta Cambia la modalità di autenticazione per utilizzare le voci di accesso.
Installare e configurare AWS CLI come descritto nella pagina Installing della Guida per l’utente dell’Interfaccia della linea di comando AWS.

Fase 1: definire la voce di accesso

Trovare l’ARN dell’identità IAM, come un utente o un ruolo, a cui concedere le autorizzazioni.
- Ogni identità IAM può disporre di una sola voce di accesso EKS.
Stabilisci se vuoi che le autorizzazioni della policy di accesso Amazon EKS si applichino solo a uno specifico namespace Kubernetes o all’intero cluster.
- Se vuoi limitare le autorizzazioni a un namespace specifico, prendi nota del nome del namespace.
Seleziona la policy di accesso EKS che desideri per l’identità IAM. Questa policy fornisce le autorizzazioni all’interno del cluster. Annota l’ARN della policy.
- Per un elenco delle policy, consulta le policy di accesso disponibili.
Stabilire se il nome utente generato automaticamente è adeguato per la voce di accesso o se è necessario specificarne uno manualmente.
- AWS genera questo valore automaticamente in base all’identità IAM. È possibile impostare un nome utente personalizzato. Tale nome è visibile nei log di Kubernetes.
- Per ulteriori informazioni, consulta Impostazione di un nome utente personalizzato per le voci di accesso EKS.

Fase 2: creare una voce di accesso

Dopo aver pianificato la voce di accesso, usa la AWS CLI per crearla.

L’esempio seguente copre la maggior parte dei casi d’uso. Visualizzare il riferimento CLI per tutte le opzioni di configurazione.

Nella fase successiva allegherai la policy di accesso.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Fase 3: associare la policy di accesso

Il comando varia a seconda che si voglia limitare la policy a un namespace Kubernetes specificato.

È necessario l’ARN della policy di accesso. Visualizza le policy di accesso disponibili.

Crea una policy senza l’ambito del namespace


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Crea con l’ambito del namespace


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Passaggi successivi

Crea un kubeconfig in modo da poter utilizzare kubectl con un’identità IAM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Impostazione del nome utente personalizzato

Tutorial: creare con i gruppi Kubernetes