Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS - Amazon EKS
Visão geralAtributosComo anexar permissõesConsideraçõesConceitos básicos

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso ao EKS

Esta seção foi criada para mostrar como gerenciar o acesso de entidades principais do IAM aos clusters de Kubernetes no Amazon Elastic Kubernetes Service (EKS) usando entradas e políticas de acesso. Você encontrará detalhes sobre como alterar os modos de autenticação, migrar a partir de entradas legadas ConfigMap do aws-auth, criar, atualizar e excluir entradas de acesso, associar políticas a entradas, revisar permissões de políticas predefinidas e os principais pré-requisitos e considerações para o gerenciamento seguro de acesso.

Visão geral

As entradas de acesso do EKS são a maneira mais eficiente de conceder aos usuários o acesso à API do Kubernetes. Por exemplo, você pode usar as entradas de acesso para conceder aos desenvolvedores acesso para usar o kubectl. De maneira geral, uma entrada de acesso do EKS associa um conjunto de permissões do Kubernetes com uma identidade do IAM, como um perfil do IAM. Por exemplo, um desenvolvedor pode assumir um perfil do IAM e usá-lo para se autenticar em um cluster de EKS.

Atributos

  • Autenticação e autorização centralizadas: controla o acesso aos clusters do Kubernetes diretamente por meio das APIs do Amazon EKS, eliminando a necessidade de alternar entre as APIs da AWS e as do Kubernetes para obter permissões de usuário.

  • Gerencimento granular de permissões: usa entradas e políticas de acesso para definir permissões granulares para as entidades principais do AWS IAM, incluindo a capacidade de modificar ou de revogar o acesso de administrador de cluster de criador.

  • Ferramenta de integração de IaC: oferece suporte a ferramentas de infraestrutura como código como o AWS CloudFormation, o Terraform e o AWS CDK para definir configurações de acesso durante a criação do cluster.

  • Recuperação de erros de configuração: permite restaurar o acesso ao cluster por meio da API do Amazon EKS, sem acesso direto à API do Kubernetes.

  • Sobrecarga reduzida e segurança aprimorada: centraliza as operações para reduzir a sobrecarga ao aproveitar as funcionalidades do AWS IAM, como o registro em log da auditoria do CloudTrail e a autenticação multifator.

Como anexar permissões

Você pode conceder permissões do Kubernetes às entradas de acesso de duas maneiras:

  • Use uma política de acesso. As políticas de acesso são modelos de permissões do Kubernetes definidos previamente e mantidos pela AWS. Para obter mais informações, consulte Analisar permissões da política de acesso.

  • Referencie um grupo do Kubernetes. Se você associar uma identidade do IAM a um grupo do Kubernetes, será possível criar recursos do Kubernetes que concedem permissões ao grupo. Para mais informações, consulte Usando a autorização de RBAC na documentação do Kubernetes.

Considerações

Ao habilitar entradas de acesso ao EKS em clusters existentes, lembre-se do seguinte:

  • Comportamento de cluster legado: para clusters criados antes da introdução de entradas de acesso (aqueles com versões iniciais da plataforma anteriores às especificadas nos Requisitos de versão da plataforma), o EKS cria automaticamente uma entrada de acesso refletindo permissões preexistentes. Essa entrada inclui a identidade do IAM que criou originalmente o cluster e as permissões administrativas concedidas a essa identidade durante a criação do cluster.

  • Manipulação do ConfigMap do aws-auth legado: se seu cluster depende do ConfigMap do aws-auth legado para gerenciamento de acesso, somente a entrada de acesso do criador original do cluster é criada automaticamente ao habilitar as entradas de acesso. Perfis ou permissões adicionais adicionadas ao ConfigMap (por exemplo, perfis do IAM personalizados para desenvolvedores ou serviços) não são migradas automaticamente. Para resolver isso, crie manualmente as entradas de acesso correspondentes.

Conceitos básicos

  1. Determine a identidade do IAM e a política de acesso que você deseja usar.

  2. Habilite as entradas de acesso do EKS no seu cluster. Confirme se você tem uma versão da plataforma compatível.

  3. Crie uma entrada de acesso que associe uma identidade do IAM com permissões do Kubernetes.

  4. Realize a autenticação no cluster usando a identidade do IAM.