協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予 IAM 使用者使用 EKS 存取項目存取 Kubernetes
本節旨在向您展示如何使用存取項目和政策,管理 Amazon Elastic Kubernetes Service (EKS) 中 Kubernetes 叢集的 IAM 主體存取。您可以找到變更身分驗證模式、從舊版 aws-auth ConfigMap 項目遷移、建立、更新和刪除存取項目、將政策與項目建立關聯、檢閱預先定義的政策許可,以及安全存取管理的金鑰先決條件和考量等詳細資訊。
概觀
EKS 存取項目是授予使用者存取 Kubernetes API 的最佳方式。例如,您可以使用存取項目來授予開發人員使用 kubectl 的存取權。基本上,EKS 存取項目會將一組 Kubernetes 許可與 IAM 身分建立關聯,例如 IAM 角色。例如,開發人員可能會擔任 IAM 角色,並使用該角色向 EKS 叢集進行身分驗證。
功能
-
集中式身分驗證和授權:直接透過 Amazon EKS APIs 控制對 Kubernetes 叢集的存取,無需在 AWS 和 Kubernetes APIs 之間切換以取得使用者許可。
-
精細許可管理:使用存取項目和政策來定義 IAM AWS 主體的精細許可,包括修改或撤銷建立者的叢集管理員存取權。
-
IaC 工具整合:支援基礎設施做為程式碼工具,例如 AWS CloudFormation、Terraform 和 AWS CDK,以在叢集建立期間定義存取組態。
-
錯誤組態復原:允許透過 Amazon EKS API 還原叢集存取,而不需要直接存取 Kubernetes API。
-
減少額外負荷和增強安全性:集中操作以降低額外負荷,同時利用 CloudTrail 稽核記錄和多重要素驗證等 AWS IAM 功能。
如何連接許可
您可以透過兩種方式連接 Kubernetes 存取項目的許可:
-
使用存取政策。存取政策是由 維護的預先定義 Kubernetes 許可範本 AWS。如需詳細資訊,請參閱檢閱存取政策許可。
-
參考 Kubernetes 群組。如果您將 IAM Identity 與 Kubernetes 群組建立關聯,您可以建立授予群組許可的 Kubernetes 資源。如需詳細資訊,請參閱 Kubernetes 文件中的使用 RBAC 授權
。
考量事項
在現有叢集上啟用 EKS 存取項目時,請記住下列事項:
-
傳統叢集行為:對於在引入存取項目之前建立的叢集 (具有早於平台版本需求中指定之初始平台版本的叢集),EKS 會自動建立反映預先存在許可的存取項目。此項目包含最初建立叢集的 IAM 身分,以及在叢集建立期間授予該身分的管理許可。
-
處理舊版
aws-authConfigMap:如果您的叢集依賴舊版aws-authConfigMap 進行存取管理,則只會在啟用存取項目時自動建立原始叢集建立者的存取項目。新增至 ConfigMap 的其他角色或許可 (例如,開發人員或服務的自訂 IAM 角色) 不會自動遷移。若要解決此問題,請手動建立對應的存取項目。
開始使用
-
決定您要使用的 IAM Identity and Access 政策。
-
在您的叢集上啟用 EKS 存取項目。確認您有支援的平台版本。
-
建立將 IAM Identity 與 Kubernetes 許可建立關聯的存取項目。
-
使用 IAM 身分驗證叢集。
