Gewähren des Zugriffs für einen Benutzer zum Anzeigen von Kubernetes-Ressource eines Clusters - Amazon EKS

Gewähren des Zugriffs für einen Benutzer zum Anzeigen von Kubernetes-Ressource eines Clusters

Gewähren Sie zusätzlichen IAM-Benutzern Zugriff auf die Amazon-EKS-Konsole, um Informationen zu Kubernetes-Ressourcen anzuzeigen, die auf Ihrem verbundenen Cluster ausgeführt werden.

Voraussetzungen

Der IAM-Benutzer oder die IAM-Rolle, die Sie für den Zugriff auf das AWS Management Console verwenden, muss die folgenden Anforderungen erfüllen.

  • Es hat die eks:AccessKubernetesApi-Berechtigung.

  • Das Amazon-EKS-Connector-Service-Konto kann die IAM oder Rolle im Cluster imitieren. Dadurch kann der EKS-connector den IAM-Benutzer oder die IAM-Rolle einem Kubernetes-Benutzer zuordnen.

So erstellen Sie die Amazon-EKS-Connector-Clusterrolle und wenden sie an

  1. Laden Sie die eks-connector-Clusterrollenvorlage herunter.

    curl -o eks-connector-clusterrole.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. Bearbeiten Sie die YAML-Datei der Clusterrollen-Vorlage. Ersetzen Sie die Referenzen von %IAM_ARN% durch den Amazon-Ressourcenname (ARN) Ihres IAM-Benutzers oder Ihrer IAM-Rolle.

  3. Wenden Sie die Amazon-EKS-Connector-Clusterrolle YAML auf Ihren Kubernetes-Cluster an.

    kubectl apply -f eks-connector-clusterrole.yaml

Damit ein IAM-Benutzer oder eine IAM-Rolle Kubernetes-Ressourcen auf der Amazon-EKS-Konsole ansehen kann, muss der Benutzer bzw. die Rolle einer Kubernetes-role oder clusterrole- mit den nötigen Ressourcen zugeordnet sein, um die Ressourcen zu lesen. Weitere Informationen finden Sie unter Using RBAC authorization in der Kubernetes-Dokumentation.

So konfigurieren Sie einen IAM-Benutzer für den Zugriff auf den verbundenen Cluster

  1. Sie können die Beispielmanifestdatei herunterladen, um ein clusterrole und clusterrolebinding oder ein role und rolebinding zu erstellen:

    • Kubernetes-Ressourcen in allen Namespaces anzeigen – Die Clusterrolle eks-connector-console-dashboard-full-access-clusterrole ermöglicht den Zugriff auf alle Namespaces und Ressourcen, die in der Konsole visualisiert werden können. Sie können den Namen des role, clusterrole und der entsprechenden Bindung ändern, bevor Sie ihn auf Ihren Cluster anwenden. Verwenden Sie den folgenden Befehl, um eine Beispieldatei herunterzuladen.

      curl -o eks-connector-console-dashboard-full-access-group.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    • Kubernetes-Ressourcen in einem bestimmten Namespace anzeigen – Der Namespace in dieser Datei ist default, wenn Sie also einen anderen Namespace angeben möchten, bearbeiten Sie die Datei, bevor Sie sie auf Ihren Cluster anwenden. Verwenden Sie den folgenden Befehl, um eine Beispieldatei herunterzuladen.

      curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. Bearbeiten Sie die YAML-Datei mit vollem oder eingeschränktem Zugriff, um die Referenzen von %IAM_ARN% durch den Amazon-Ressourcennamen (ARN) Ihres IAM-Benutzers oder Ihrer IAM-Rolle zu ersetzen.

  3. Wenden Sie die YAML-Dateien mit vollem oder eingeschränktem Zugriff auf Ihren Kubernetes-Cluster an. Ersetzen Sie den Wert der YAML-Datei durch Ihren eigenen.

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

Informationen zum Anzeigen von Kubernetes-Ressourcen in Ihrem verbundenen Cluster finden Sie unter Anzeigen der Kubernetes-Ressourcen. Daten für einige Ressourcentypen auf der Registerkarte Resources (Ressourcen) sind nicht für verbundene Cluster verfügbar.