協助改進此頁面
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
了解存取控制在 Amazon EKS 中的運作方式
了解如何管理對 Amazon EKS 叢集的存取權限。使用 Amazon EKS 需要了解 Kubernetes 及 AWS Identity and Access Management (AWS IAM) 如何處理存取控制。
本節包括:
授予 IAM 使用者和角色對 Kubernetes API 的存取權:了解如何讓應用程式或使用者對 Kubernetes API 進行身分驗證。您可使用存取項目、aws-auth ConfigMap 或外部 OIDC 提供商。
檢視 AWS 管理主控台 中的 Kubernetes 資源:了解如何設定 AWS 管理主控台 以與您的 Amazon EKS 叢集進行通訊。使用主控台檢視叢集中的 Kubernetes 資源,如命名空間、節點和 Pod。
透過建立 kubeconfig 檔案將 kubectl 連線至 EKS 叢集:了解如何設定 kubectl 以與您的 Amazon EKS 叢集進行通訊。使用 AWS CLI 以建立 kubeconfig 檔案。
藉助 Kubernetes 服務帳戶向 AWS 授予 Kubernetes 工作負載存取權:了解如何將 Kubernetes 服務帳戶與 IAM AWS 角色進行關聯。您可以使用 Pod 身分識別或服務帳戶的 IAM 角色 (IRSA)。
一般任務
-
授予開發人員對 Kubernetes API 的存取權限。檢視 AWS 管理主控台 中的 Kubernetes 資源。
-
解決方案:使用存取項目將 Kubernetes RBAC 許可與 IAM AWS 使用者或角色進行關聯。
-
-
設定 kubectl 以使用 AWS 憑證與 Amazon EKS 叢集進行通訊。
-
解決方案:使用 AWS CLI 以建立 kubeconfig 檔案。
-
-
使用外部身分識別提供商 (例如 Ping Identity) 來驗證使用者對 Kubernetes API 的存取。
-
解決方案:連結外部 OIDC 提供商。
-
-
授予 Kubernetes 叢集上的工作負載呼叫 AWS API 的能力。
-
解決方案:使用 Pod 身分識別將 AWS IAM 角色與 Kubernetes 服務帳戶進行關聯。
-
背景介紹
-
如需管理對 AWS 資源存取權限的詳細資訊,請參閱 AWS IAM 使用者指南。或者,參加免費的關於使用 AWS IAM 的入門訓練
。
EKS 自動模式的考量事項
EKS 自動模式與 EKS Pod 身分識別和 EKS 存取項目整合。
-
EKS 自動模式使用存取項目來授予 EKS 控制平面 Kubernetes 許可。例如,存取政策讓 EKS 自動模式能夠讀取有關網路端點和服務的資訊。
-
您無法在 EKS 自動模式叢集上停用存取項目。
-
您可選擇性啟用
aws-authConfigMap。 -
EKS 自動模式的存取項目將會自動設定。您可以檢視這些存取項目,但無法進行修改。
-
如果您使用 NodeClass 建立自訂節點 IAM 角色,則需要使用 AmazonEKSAutoNodePolicy 存取政策為該角色建立存取項目。
-
-
如果您想要授予工作負載對 AWS 服務的許可,請使用 EKS Pod 身分識別。
-
您無需在 EKS 自動模式叢集上安裝 Pod 身分識別代理程式。
-
