Übersicht Voraussetzungen Schritt 1: Definieren Sie den Zugriffseintrag Schritt 2: Erstellen Sie einen Zugriffseintrag mit Kubernetes-Gruppen Schritt 3: Kubernetes RBAC konfigurieren Nächste Schritte

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Erstellen Sie einen Zugriffseintrag mithilfe von Kubernetes-Gruppen mit der CLI AWS

Erstellen Sie Amazon EKS-Zugriffseinträge, die Kubernetes-Gruppen für die Autorisierung verwenden und eine manuelle RBAC-Konfiguration erfordern.

Anmerkung

Für die meisten Anwendungsfälle empfehlen wir, EKS-Zugriffsrichtlinien anstelle des auf dieser Seite beschriebenen Kubernetes-Gruppenansatzes zu verwenden. EKS-Zugriffsrichtlinien bieten eine einfachere, besser AWS integrierte Möglichkeit, den Zugriff zu verwalten, ohne dass eine manuelle RBAC-Konfiguration erforderlich ist. Verwenden Sie den Kubernetes-Gruppenansatz nur, wenn Sie eine detailliertere Steuerung benötigen als die EKS-Zugriffsrichtlinien.

Übersicht

Zugriffseinträge definieren, wie IAM-Identitäten (Benutzer und Rollen) auf Ihre Kubernetes-Cluster zugreifen. Der Kubernetes-Gruppenansatz gewährt IAM-Benutzern oder -Rollen die Erlaubnis, über standardmäßige Kubernetes-RBAC-Gruppen auf Ihren EKS-Cluster zuzugreifen. Diese Methode erfordert die Erstellung und Verwaltung von Kubernetes-RBAC-Ressourcen (Rollen,, und ClusterRoleBindings) und wird empfohlen RoleBindings ClusterRoles, wenn Sie stark angepasste Berechtigungssätze und komplexe Autorisierungsanforderungen benötigen oder konsistente Zugriffskontrollmuster in hybriden Kubernetes-Umgebungen beibehalten möchten.

Dieses Thema behandelt nicht die Erstellung von Zugriffseinträgen für IAM-Identitäten, die für EC2 Amazon-Instances verwendet werden, um EKS-Clustern beizutreten.

Voraussetzungen

Der Authentifizierungsmodus Ihres Clusters muss so konfiguriert sein, dass Zugriffseinträge aktiviert werden. Weitere Informationen finden Sie unter Ändern Sie den Authentifizierungsmodus, um Zugriffseinträge zu verwenden.
Installieren und konfigurieren Sie die AWS CLI, wie unter Installation im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle beschrieben.
Es wird empfohlen, mit Kubernetes RBAC vertraut zu sein. Weitere Informationen finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

Schritt 1: Definieren Sie den Zugriffseintrag

Suchen Sie den ARN der IAM-Identität, z. B. eines Benutzers oder einer Rolle, für die Sie Berechtigungen erteilen möchten.
- Jede IAM-Identität kann nur einen EKS-Zugriffseintrag haben.
Ermitteln Sie, welche Kubernetes-Gruppen Sie dieser IAM-Identität zuordnen möchten.
- Sie müssen vorhandene ClusterRoleBinding Kubernetes-RessourcenRole//ClusterRoleundRoleBinding//erstellen oder verwenden, die auf diese Gruppen verweisen.
Stellen Sie fest, ob der automatisch generierte Benutzername für den Zugriffseintrag geeignet ist oder ob Sie einen Benutzernamen manuell angeben müssen.
- AWS generiert diesen Wert automatisch auf der Grundlage der IAM-Identität. Sie können einen benutzerdefinierten Benutzernamen festlegen. Dies ist in Kubernetes-Protokollen sichtbar.
- Weitere Informationen finden Sie unter Legen Sie einen benutzerdefinierten Benutzernamen für EKS-Zugriffseinträge fest.

Schritt 2: Erstellen Sie einen Zugriffseintrag mit Kubernetes-Gruppen

Nachdem Sie den Zugriffseintrag geplant haben, verwenden Sie die AWS CLI, um ihn mit den entsprechenden Kubernetes-Gruppen zu erstellen.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Ersetzen Sie:

<cluster-name>mit Ihrem EKS-Clusternamen
<iam-identity-arn>mit dem ARN des IAM-Benutzers oder der IAM-Rolle
<groups>mit einer durch Kommas getrennten Liste von Kubernetes-Gruppen (z. B. „system:developers, system:readers“)

Sehen Sie sich die CLI-Referenz für alle Konfigurationsoptionen an.

Schritt 3: Kubernetes RBAC konfigurieren

Damit der IAM-Prinzipal Zugriff auf Kubernetes-Objekte in Ihrem Cluster hat, müssen Sie Objekte für die rollenbasierte Zugriffskontrolle (RBAC) von Kubernetes erstellen und verwalten:

Erstellen Sie Kubernetes oder Objekte, die die Berechtigungen definieren. Role ClusterRole
Erstellen Sie Kubernetes RoleBinding oder ClusterRoleBinding Objekte auf Ihrem Cluster, die den Gruppennamen als für angeben. subject kind: Group

Ausführliche Informationen zur Konfiguration von Gruppen und Berechtigungen in Kubernetes finden Sie unter Using RBAC Authorization in der Kubernetes-Dokumentation.

Nächste Schritte

Erstellen Sie eine kubeconfig, damit Sie kubectl mit einer IAM-Identität verwenden können

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Tutorial: Mit Zugriffsrichtlinie erstellen

aws-auth ConfigMap