**帮助改进此页面** 

要帮助改进本用户指南，请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。

# 授予在 Amazon EKS 控制台上查看 Kubernetes 集群资源的权限
<a name="connector-grant-access"></a>

向 [IAM 主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal)授予对 Amazon EKS 控制台的访问权限，查看有关在已连接集群上运行的 Kubernetes 资源的信息。

## 先决条件
<a name="connector-grant-access-prereqs"></a>

您访问 AWS 管理控制台 所用的 [IAM 主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal)必须满足以下要求：
+ 它必须具有 `eks:AccessKubernetesApi` IAM 权限。
+ Amazon EKS Connector 服务账户应能够模拟集群中的 IAM 主体。这将允许 Amazon EKS Connector 将 IAM 主体映射到 Kubernetes 用户。

 **创建并应用 Amazon EKS Connector 集群角色** 

1. 下载 `eks-connector` 集群角色模板。

   ```
   curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
   ```

1. 编辑集群角色模板 YAML 文件。将 `%IAM_ARN%` 参考替换为您的 IAM 主体的 Amazon 资源名称（ARN）。

1. 将 Amazon EKS Connector 集群角色 YAML 应用于您的 Kubernetes 集群。

   ```
   kubectl apply -f eks-connector-clusterrole.yaml
   ```

要让某个 IAM 主体能够在 Amazon EKS 控制台上查看 Kubernetes 资源，该主体必须与 Kubernetes `role` 或 `clusterrole` 关联，并拥有读取这些资源的必要权限。有关更多信息，请参阅 Kubernetes 文档中的[使用 RBAC 授权](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)。

 **要配置 IAM 主体以访问连接的集群** 

1. 您可以下载以下任一示例清单文件，分别创建 `clusterrole` 和 `clusterrolebinding` 或 `role` 和 `rolebinding`：  
 **查看所有命名空间中的 Kubernetes 资源**   
   + `eks-connector-console-dashboard-full-access-clusterrole` 集群角色允许访问控制台中可视化的所有命名空间和资源。您可以更改 `role`、`clusterrole` 及其对应绑定的名称，然后再将其应用于集群。使用以下命令下载示文件。

     ```
     curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
     ```  
 **查看特定命名空间中的 Kubernetes 资源**   
   + 此文件中的命名空间是 `default`，因此如果要指定不同命名空间，请编辑该文件，然后应用到集群。使用以下命令下载示文件。

     ```
     curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
     ```

1. 编辑完全访问权限或受限访问权限 YAML 文件以将 `%IAM_ARN%` 参考替换为您的 IAM 主体的 Amazon 资源名称（ARN）。

1. 将完全访问权限或受限访问权限 YAML 文件应用于 Kubernetes 集群。将 YAML 文件的值替换为您自己的值。

   ```
   kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml
   ```

要查看已连接集群中的 Kubernetes 资源，请参阅 [在 AWS 管理控制台中查看 Kubernetes 资源](view-kubernetes-resources.md)。**资源**选项卡上某些资源类型的数据不适用于已连接的集群。