Gewähren des Zugriffs für einen Benutzer zum Anzeigen eines Clusters - Amazon EKS

Gewähren des Zugriffs für einen Benutzer zum Anzeigen eines Clusters

Amazon EKS Connector ist eine Vorversion für Amazon EKS und kann sich noch ändern.

Sie können zusätzlichen IAM-Benutzern Zugriff auf die Amazon-EKS-Konsole gewähren, um Informationen zu den Kubernetes-Workloads und Pods anzuzeigen, die auf Ihrem verbundenen Cluster ausgeführt werden.

Prerequisites

Der IAM-Benutzer oder die IAM-Rolle, die Sie für den Zugriff auf das AWS Management Console verwenden, muss die folgenden Anforderungen erfüllen.

  • Hat die eks:AccessKubernetesApi-Berechtigung.

  • Das Amazon EKS Connector Service-Konto sollte in der Lage sein, die IAM oder Rolle im Cluster zu imitieren. Dadurch kann der EKS-connector den IAM-Benutzer oder die IAM-Rolle einem Kubernetes-Benutzer zuordnen.

So erstellen Sie die Amazon-EKS-Connector-Clusterrolle und wenden sie an

  1. Laden Sie die eks-connector-Clusterrollenvorlage herunter.

    curl -o eks-connector-clusterrole.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. Bearbeiten Sie die YAML-Datei der Clusterrollenvorlage, ersetzen Sie die Referenzen von %IAM_ARN% durch den Amazon-Ressourcenname (ARN) Ihres IAM-Benutzers oder Ihrer IAM-Rolle.

  3. Wenden Sie die Amazon-EKS-Connector-Clusterrolle YAML auf Ihren Kubernetes-Cluster an.

    kubectl apply -f eks-connector-clusterrole.yaml

Damit ein IAM-Benutzer oder eine IAM-Rolle die Workloads auf der Amazon EKS-Konsole visualisieren kann, müssen sie einem Kubernetes role oder clusterrole mit den erforderlichen Berechtigungen zum Lesen dieser Ressourcen zugeordnet sein. Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

So konfigurieren Sie einen IAM-Benutzer für den Zugriff auf den verbundenen Cluster

  1. Sie können die Beispielmanifestdatei herunterladen, um ein clusterrole und clusterrolebinding oder ein role und rolebinding zu erstellen:

    • Kubernetes-Ressourcen in allen Namespaces anzeigen – Die Clusterrolle eks-connector-console-dashboard-full-access-clusterrole ermöglicht den Zugriff auf alle Namespaces und Ressourcen, die in der Konsole visualisiert werden können. Sie können den Namen des role, clusterrole und der entsprechenden Bindung ändern, bevor Sie ihn auf Ihren Cluster anwenden. Verwenden Sie den folgenden Befehl, um eine Beispieldatei herunterzuladen.

      curl -o eks-connector-console-dashboard-full-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    • Kubernetes-Ressourcen in einem bestimmten Namespace anzeigen – Der Namespace in dieser Datei ist default, wenn Sie also einen anderen Namespace angeben möchten, bearbeiten Sie die Datei, bevor Sie sie auf Ihren Cluster anwenden. Verwenden Sie den folgenden Befehl, um eine Beispieldatei herunterzuladen.

      curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. Bearbeiten Sie die YAML-Datei mit vollem oder eingeschränktem Zugriff, um die Referenzen von %IAM_ARN% durch den Amazon-Ressourcennamen (ARN) Ihres IAM-Benutzers oder Ihrer IAM-Rolle zu ersetzen.

  3. Wenden Sie die YAML-Dateien mit vollem oder eingeschränktem Zugriff auf Ihren Kubernetes-Cluster an. Ersetzen Sie den Wert der YAML-Datei durch Ihren eigenen.

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

Informationen zum Anzeigen Ihres verbundenen Clusters und Ihrer Knoten finden Sie unter View-Knoten. Informationen zum Anzeigen von Arbeitslasten finden Sie unter Anzeigen von Workloads. Beachten Sie, dass einige Knoten- und Workload-Daten für verbundene Cluster nicht aufgefüllt werden.