協助改進此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用存取政策與 AWS CLI 為 IAM 角色或使用者建立存取項目
建立 Amazon EKS 存取項目,這些項目使用 AWS 受管 EKS 存取政策,以授予 IAM 身分標準化許可來存取和管理 Kubernetes 叢集。
概觀
Amazon EKS 中的存取項目會定義了 IAM 身分 (使用者和角色) 如何存取您的 Kubernetes 叢集並與其互動。透過建立具有 EKS 存取政策的存取項目,您可以:
-
授予特定 IAM 使用者或角色存取 EKS 叢集的許可
-
使用 AWS 管理的 EKS 存取政策來控制許可,這些政策提供標準化的預先定義許可集
-
將許可範圍限定於特定命名空間或整個叢集
-
簡化存取管理,無需修改
aws-authConfigMap 或建立 Kubernetes RBAC 資源 -
使用 AWS 整合的方法進行 Kubernetes 存取控制,涵蓋常見的使用案例,同時維護安全性最佳實踐
此方法適用於大多數使用案例,因為它提供了 AWS 管理的標準化許可,而無需手動設定 Kubernetes RBAC。EKS 存取政策無需手動設定 Kubernetes RBAC 資源,並提供涵蓋常見使用案例的預定義許可集。
先決條件
-
您的叢集身分驗證模式必須設定為啟用存取項目。如需詳細資訊,請參閱 變更驗證模式以使用存取項目。
-
依據《AWS 命令列介面使用者指南》中的安裝內容所述,安裝與設定 AWS CLI。
步驟 1:定義存取項目
-
尋找您要授予許可的 IAM 身分的 ARN,如使用者或角色。
-
每個 IAM 身分只能有一個 EKS 存取項目。
-
-
確定您希望 Amazon EKS 存取政策許可僅適用於特定的 Kubernetes 命名空間,還是跨整個叢集。
-
如果您想將許可限制在特定命名空間,請記下命名空間名稱。
-
-
為 IAM 身分選擇所需的 EKS 存取政策。此政策授予叢集內許可。記下政策的 ARN。
-
有關政策列表,請參閱可用的存取政策。
-
-
判斷自動產生的使用者名稱是否適合該存取項目,或者您是否需要手動指定使用者名稱。
-
AWS 會根據 IAM 身分自動產生此值。您可設定自訂使用者名稱。這在 Kubernetes 日誌中可見。
-
如需詳細資訊,請參閱 針對 EKS 存取項目設定自訂使用者名稱。
-
步驟 2:建立存取項目
規劃存取項目之後,使用 AWS CLI 來建立該項目。
以下範例涵蓋大多數使用案例。檢視全部組態選項的 CLI 參考。
您將在下一步驟中附加存取政策。
aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD
步驟 3:關聯存取政策
根據您是否希望政策限制於指定的 Kubernetes 命名空間,指令會有所不同。
您需要存取政策的 ARN。檢視可用的存取政策。
建立無命名空間範圍的政策
aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>
使用命名空間範圍建立
aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \ --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>
後續步驟
