Gewähren Sie IAM-Benutzern Zugriff auf Kubernetes mit EKS-Zugriffseinträgen - Amazon EKS
ÜbersichtFeaturesWie hängt man Berechtigungen anÜberlegungenErste Schritte

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gewähren Sie IAM-Benutzern Zugriff auf Kubernetes mit EKS-Zugriffseinträgen

In diesem Abschnitt erfahren Sie, wie Sie den IAM-Prinzipalzugriff auf Kubernetes-Cluster in Amazon Elastic Kubernetes Service (EKS) mithilfe von Zugriffseinträgen und Richtlinien verwalten. Sie finden Informationen zur Änderung der Authentifizierungsmodi, zur Migration von älteren aws-auth ConfigMap Einträgen, zum Erstellen, Aktualisieren und Löschen von Zugriffseinträgen, zum Zuordnen von Richtlinien zu Einträgen, zur Überprüfung vordefinierter Richtlinienberechtigungen sowie zu den wichtigsten Voraussetzungen und Überlegungen für ein sicheres Zugriffsmanagement.

Übersicht

EKS-Zugriffseinträge sind der beste Weg, Benutzern Zugriff auf die Kubernetes-API zu gewähren. Sie können beispielsweise Zugriffseinträge verwenden, um Entwicklern Zugriff auf die Verwendung von kubectl zu gewähren. Grundsätzlich verknüpft ein EKS-Zugriffseintrag eine Reihe von Kubernetes-Berechtigungen mit einer IAM-Identität, z. B. einer IAM-Rolle. Ein Entwickler kann beispielsweise eine IAM-Rolle annehmen und diese zur Authentifizierung bei einem EKS-Cluster verwenden.

Features

  • Zentralisierte Authentifizierung und Autorisierung: Steuert den Zugriff auf Kubernetes-Cluster direkt über Amazon EKS APIs, sodass Sie nicht mehr zwischen Kubernetes AWS und Kubernetes APIs wechseln müssen, um Benutzerberechtigungen zu erhalten.

  • Granulares Berechtigungsmanagement: Verwendet Zugriffseinträge und Richtlinien, um detaillierte Berechtigungen für AWS IAM-Prinzipale zu definieren, einschließlich der Änderung oder dem Widerruf des Cluster-Admin-Zugriffs durch den Ersteller.

  • IaC-Tool-Integration: Unterstützt Infrastruktur-AS-Code-Tools wie Terraform und CDK zur Definition von AWS CloudFormation Zugriffskonfigurationen bei der Clustererstellung. AWS

  • Wiederherstellung von Fehlkonfigurationen: Ermöglicht die Wiederherstellung des Clusterzugriffs über die Amazon EKS-API ohne direkten Kubernetes-API-Zugriff.

  • Reduzierter Overhead und verbesserte Sicherheit: Zentralisiert den Betrieb, um den Overhead zu senken, und nutzt gleichzeitig AWS IAM-Funktionen wie Audit-Logging und Multi-Faktor-Authentifizierung. CloudTrail

Wie hängt man Berechtigungen an

Sie können Kubernetes-Berechtigungen auf zwei Arten an Zugriffseinträge anhängen:

  • Verwenden Sie eine Zugriffsrichtlinie. Zugriffsrichtlinien sind vordefinierte Kubernetes-Berechtigungsvorlagen, die von verwaltet werden. AWS Weitere Informationen finden Sie unter Überprüfen Sie die Zugriffsrichtlinienberechtigungen.

  • Verweisen Sie auf eine Kubernetes-Gruppe. Wenn Sie einer Kubernetes-Gruppe eine IAM-Identität zuordnen, können Sie Kubernetes-Ressourcen erstellen, die der Gruppe Berechtigungen gewähren. Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

Überlegungen

Beachten Sie bei der Aktivierung von EKS-Zugriffseinträgen auf vorhandenen Clustern Folgendes:

  • Verhalten älterer Cluster: Für Cluster, die vor der Einführung von Zugriffseinträgen erstellt wurden (solche, deren erste Plattformversionen älter sind als in den Anforderungen für die Plattformversion angegeben), erstellt EKS automatisch einen Zugriffseintrag, der bereits bestehende Berechtigungen widerspiegelt. Dieser Eintrag enthält die IAM-Identität, mit der der Cluster ursprünglich erstellt wurde, und die Administratorberechtigungen, die dieser Identität bei der Clustererstellung gewährt wurden.

  • Umgang mit älteren aws-auth ConfigMap Versionen: Wenn Ihr Cluster aws-auth ConfigMap für die Zugriffsverwaltung auf die Legacy-Version angewiesen ist, wird bei der Aktivierung der Zugriffseinträge automatisch nur der Zugriffseintrag für den ursprünglichen Cluster-Ersteller erstellt. Zusätzliche Rollen oder Berechtigungen, die dem hinzugefügt wurden ConfigMap (z. B. benutzerdefinierte IAM-Rollen für Entwickler oder Dienste), werden nicht automatisch migriert. Um dieses Problem zu beheben, erstellen Sie manuell entsprechende Zugriffseinträge.

Erste Schritte

  1. Ermitteln Sie die IAM-Identitäts- und Zugriffsrichtlinie, die Sie verwenden möchten.

  2. Aktivieren Sie EKS Access Entries auf Ihrem Cluster. Vergewissern Sie sich, dass Sie über eine unterstützte Plattformversion verfügen.

  3. Erstellen Sie einen Zugriffseintrag, der eine IAM-Identität mit einer Kubernetes-Berechtigung verknüpft.

  4. Authentifizieren Sie sich mit der IAM-Identität beim Cluster.