Übersicht Voraussetzungen Schritt 1: Definieren Sie den Zugriffseintrag Schritt 2: Zugangseintrag erstellen Schritt 3: Zugriffsrichtlinie zuordnen Nächste Schritte

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Erstellen Sie mithilfe einer Zugriffsrichtlinie und der CLI einen Zugriffseintrag für eine IAM-Rolle oder einen IAM-Benutzer AWS

Erstellen Sie Amazon EKS-Zugriffseinträge, die mithilfe von AWS-verwalteten EKS-Zugriffsrichtlinien IAM-Identitäten standardisierte Berechtigungen für den Zugriff auf und die Verwaltung von Kubernetes-Clustern gewähren.

Übersicht

Zugriffseinträge in Amazon EKS definieren, wie IAM-Identitäten (Benutzer und Rollen) auf Ihre Kubernetes-Cluster zugreifen und mit ihnen interagieren können. Durch das Erstellen von Zugriffseinträgen mit EKS-Zugriffsrichtlinien können Sie:

Erteilen Sie bestimmten IAM-Benutzern oder -Rollen die Erlaubnis, auf Ihren EKS-Cluster zuzugreifen
Steuern Sie Berechtigungen mithilfe von AWS verwalteten EKS-Zugriffsrichtlinien, die standardisierte, vordefinierte Berechtigungssätze bereitstellen
Bereichsberechtigungen auf bestimmte Namespaces oder clusterweit
Vereinfachen Sie die Zugriffsverwaltung, ohne die Kubernetes-RBAC-Ressourcen zu ändern oder zu erstellen aws-auth ConfigMap
Verwenden Sie einen AWS integrierten Ansatz für die Kubernetes-Zugriffskontrolle, der gängige Anwendungsfälle abdeckt und gleichzeitig bewährte Sicherheitsverfahren beibehält

Dieser Ansatz wird für die meisten Anwendungsfälle empfohlen, da er AWS verwaltete, standardisierte Berechtigungen bietet, ohne dass eine manuelle Kubernetes-RBAC-Konfiguration erforderlich ist. EKS-Zugriffsrichtlinien machen die manuelle Konfiguration von Kubernetes-RBAC-Ressourcen überflüssig und bieten vordefinierte Berechtigungssätze, die allgemeine Anwendungsfälle abdecken.

Voraussetzungen

Der Authentifizierungsmodus Ihres Clusters muss so konfiguriert sein, dass Zugriffseinträge aktiviert werden. Weitere Informationen finden Sie unter Ändern Sie den Authentifizierungsmodus, um Zugriffseinträge zu verwenden.
Installieren und konfigurieren Sie die AWS CLI, wie unter Installation im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle beschrieben.

Schritt 1: Definieren Sie den Zugriffseintrag

Suchen Sie den ARN der IAM-Identität, z. B. einen Benutzer oder eine Rolle, dem Sie Berechtigungen erteilen möchten.
- Jede IAM-Identität kann nur einen EKS-Zugriffseintrag haben.
Stellen Sie fest, ob die Zugriffsrichtlinienberechtigungen von Amazon EKS nur für einen bestimmten Kubernetes-Namespace oder für den gesamten Cluster gelten sollen.
- Wenn Sie die Berechtigungen auf einen bestimmten Namespace beschränken möchten, notieren Sie sich den Namespace-Namen.
Wählen Sie die EKS-Zugriffsrichtlinie aus, die Sie für die IAM-Identität verwenden möchten. Diese Richtlinie gewährt Cluster-interne Berechtigungen. Notieren Sie sich den ARN der Richtlinie.
- Eine Liste der Richtlinien finden Sie unter Verfügbare Zugriffsrichtlinien.
Stellen Sie fest, ob der automatisch generierte Benutzername für den Zugriffseintrag geeignet ist oder ob Sie einen Benutzernamen manuell angeben müssen.
- AWS generiert diesen Wert automatisch auf der Grundlage der IAM-Identität. Sie können einen benutzerdefinierten Benutzernamen festlegen. Dies ist in Kubernetes-Protokollen sichtbar.
- Weitere Informationen finden Sie unter Legen Sie einen benutzerdefinierten Benutzernamen für EKS-Zugriffseinträge fest.

Schritt 2: Zugangseintrag erstellen

Nachdem Sie den Zugriffseintrag geplant haben, verwenden Sie die AWS CLI, um ihn zu erstellen.

Das folgende Beispiel deckt die meisten Anwendungsfälle ab. Sehen Sie sich die CLI-Referenz für alle Konfigurationsoptionen an.

Im nächsten Schritt werden Sie die Zugriffsrichtlinie anhängen.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Schritt 3: Zugriffsrichtlinie zuordnen

Der Befehl unterscheidet sich je nachdem, ob die Richtlinie auf einen bestimmten Kubernetes-Namespace beschränkt werden soll.

Sie benötigen den ARN der Zugriffsrichtlinie. Überprüfen Sie die verfügbaren Zugriffsrichtlinien.

Erstellen Sie eine Richtlinie ohne Namespace-Bereich


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Mit Namespace-Bereich erstellen


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Nächste Schritte

Erstellen Sie eine kubeconfig, damit Sie kubectl mit einer IAM-Identität verwenden können

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Legen Sie einen benutzerdefinierten Benutzernamen fest

Tutorial: Mit Kubernetes Gruppen erstellen