Helfen Sie mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Verstehen Sie die EKS von Amazon erstellten RBAC Rollen und Benutzer

Wenn Sie eine erstellen Kubernetes Cluster, standardmäßig mehrere Kubernetes Identitäten werden auf diesem Cluster für das reibungslose Funktionieren von erstellt Kubernetes. Amazon EKS erstellt Kubernetes Identitäten für jede seiner Standardkomponenten. Die Identitäten bieten Kubernetes rollenbasierte Autorisierungssteuerung (RBAC) für die Clusterkomponenten. Weitere Informationen finden Sie unter Verwenden der RBAC Autorisierung in der Kubernetes -Dokumentation.

Wenn Sie optionale EKSAmazon-Add-Ons Add-Ons für Ihren Cluster installieren, werden zusätzliche Kubernetes Identitäten können Ihrem Cluster hinzugefügt werden. Weitere Informationen zu Identitäten, die in diesem Thema nicht behandelt werden, finden Sie in der Dokumentation des Add-Ons.

Sie können die von Amazon EKS erstellte Liste einsehen Kubernetes Identitäten auf Ihrem Cluster mithilfe des AWS Management Console kubectl Befehlszeilentools oder. Alle Benutzeridentitäten erscheinen in den kube Audit-Logs, die Ihnen über Amazon CloudWatch zur Verfügung stehen.

AWS Management Console

.Voraussetzung Der von Ihnen verwendete IAMPrincipal muss über die unter Erforderliche Berechtigungen Erforderliche Berechtigungen beschriebenen Berechtigungen verfügen.

Öffnen Sie die EKSAmazon-Konsole.
Wählen Sie in der Liste Clusters (Cluster) den Cluster aus, der die anzuzeigenden Identitäten enthält.
Wählen Sie die Registerkarte Resources (Ressourcen) aus.
Wählen Sie unter Resource types (Ressourcentypen) die Option Authorization (Autorisierung) aus.
Wählen Sie ClusterRoles, ClusterRoleBindings, Rollen oder RoleBindings. Alle Ressourcen mit dem Präfix eks werden von Amazon EKS erstellt. Zusätzliche EKS von Amazon erstellte Identitätsressourcen sind:
- Der ClusterRoleund ClusterRoleBindingbenannte aws-node. Die aws-node-Ressourcen unterstützen das Amazon VPC CNI VPC CNI Amazon-Plugin für Kubernetes, das Amazon auf allen Clustern EKS installiert.
- Ein ClusterRolebenannter und ein benannter vpc-resource-controller-role. ClusterRoleBindingvpc-resource-controller-rolebinding Diese Ressourcen unterstützen den Amazon VPC Resource Controller, den Amazon auf allen Clustern EKS installiert.

Zusätzlich zu den Ressourcen, die Sie in der Konsole sehen, gibt es in Ihrem Cluster die folgenden speziellen Benutzeridentitäten, die jedoch in der Clusterkonfiguration nicht sichtbar sind:

eks:cluster-bootstrap— Wird für kubectl Operationen beim Cluster-Bootstrap verwendet.
eks:support-engineer— Wird für Clusterverwaltungsvorgänge verwendet.
1. Wählen Sie eine bestimmte Ressource aus, um Details dazu anzuzeigen. Standardmäßig werden Ihnen Informationen in der Strukturierten Ansicht angezeigt. In der oberen rechten Ecke der Detailseite können Sie die Raw view (Rohansicht) auswählen, um alle Informationen für die Ressource anzuzeigen.

Kubectl

.Voraussetzung Die Entität, die Sie verwenden (AWS Identity and Access Management (IAM) oder OpenID Connect (OIDC)), um die aufzulisten Kubernetes Ressourcen auf dem Cluster müssen von IAM oder Ihrem authentifiziert werden OIDC Identitätsanbieter. Der Entität müssen Berechtigungen zur Verwendung von erteilt werden Kubernetes getund list Verben für dieRole, ClusterRoleRoleBinding, und ClusterRoleBinding Ressourcen in Ihrem Cluster, mit denen die Entität arbeiten soll. Weitere Informationen darüber, wie Sie IAM Entitäten Zugriff auf Ihren Cluster gewähren, finden Sie unterIAMBenutzern und Rollen Zugriff auf Kubernetes gewähren APIs. Weitere Informationen zur Gewährung von Entitäten, die von Ihnen selbst authentifiziert wurden OIDC Anbieterzugriff auf Ihren Cluster finden Sie unterGewähren Sie Benutzern Zugriff auf Kubernetes mit einem externen OIDC provider. .Um von Amazon EKS erstellte Identitäten anzuzeigen, indem kubectl Sie den Befehl für den Ressourcentyp ausführen, den Sie sehen möchten. Alle zurückgegebenen Ressourcen, denen eks vorangestellt ist, wurden von Amazon EKS erstellt. Zusätzlich zu den Ressourcen, die in der Ausgabe der Befehle zurückgegeben wurden, sind die folgenden speziellen Benutzeridentitäten in Ihrem Cluster vorhanden, obwohl sie in der Cluster-Konfiguration nicht sichtbar sind:

eks:cluster-bootstrap— Wird für kubectl Operationen beim Cluster-Bootstrap verwendet.
eks:support-engineer— Wird für Clusterverwaltungsvorgänge verwendet.

ClusterRoles— ClusterRoles sind auf Ihren Cluster beschränkt, sodass alle einer Rolle erteilten Berechtigungen für Ressourcen in jedem Cluster gelten Kubernetes Namespace auf dem Cluster.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes ClusterRolesauf Ihrem Cluster.
```
kubectl get clusterroles | grep eks
```
Zusätzlich zu dem in der Ausgabe zurückgegebenen ClusterRoles, dem etwas vorangestellt ist, sind die folgenden ClusterRoles vorhanden.
aws-node— Dies ClusterRole unterstützt das Amazon VPC CNI VPC CNI Amazon-Plugin für Kubernetes, das Amazon auf allen EKS Clustern installiert.
vpc-resource-controller-role— Dies ClusterRole unterstützt den Amazon VPC Resource Controller, den Amazon auf allen Clustern EKS installiert.

Um die Spezifikation für a zu sehenClusterRole, ersetzen Sie eks:k8s-metrics im folgenden Befehl mit einem, der in der Ausgabe des vorherigen Befehls ClusterRole zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für eks:k8s-metrics ClusterRole.
```
kubectl describe clusterrole eks:k8s-metrics
```
Eine Beispielausgabe sieht wie folgt aus.
```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]
```
ClusterRoleBindings— ClusterRoleBindings sind auf Ihren Cluster beschränkt.

Der folgende Befehl gibt alle von Amazon EKS erstellten Kubernetes ClusterRoleBindingsauf Ihrem Cluster.
```
kubectl get clusterrolebindings | grep eks
```
Zusätzlich zu dem in der Ausgabe zurückgegebenen ClusterRoleBindings, sind die folgenden ClusterRoleBindings vorhanden.
aws-node— Dies ClusterRoleBinding unterstützt das Amazon VPC CNI VPC CNI Amazon-Plugin für Kubernetes, das Amazon auf allen EKS Clustern installiert.
vpc-resource-controller-rolebinding— Dies ClusterRoleBinding unterstützt den Amazon VPC Resource Controller, den Amazon auf allen Clustern EKS installiert.

Um die Spezifikation für a zu sehenClusterRoleBinding, ersetzen Sie eks:k8s-metrics im folgenden Befehl mit einem, der in der Ausgabe des vorherigen Befehls ClusterRoleBinding zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für eks:k8s-metrics ClusterRoleBinding.


kubectl describe clusterrolebinding eks:k8s-metrics

+ Eine Beispielausgabe sieht wie folgt aus.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

+ Rollen — Roles sind auf a beschränkt Kubernetes Namespace. Alle EKS von Amazon erstellten Roles Dateien sind auf den kube-system Namespace beschränkt.

+ Der folgende Befehl gibt alle von Amazon EKS erstellten Daten zurück Kubernetes Rolesauf Ihrem Cluster.


kubectl get roles -n kube-system | grep eks

+ Um die Spezifikation für a zu sehenRole, ersetzen Sie eks:k8s-metrics im folgenden Befehl mit dem Namen von a, der in der Ausgabe des vorherigen Befehls Role zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für eks:k8s-metrics Role.


kubectl describe role eks:k8s-metrics -n kube-system

+ Eine Beispielausgabe sieht wie folgt aus.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]

+ RoleBindings— RoleBindings sind auf a beschränkt Kubernetes Namespace. Alle EKS von Amazon erstellten RoleBindings Dateien sind auf den kube-system Namespace beschränkt.

+ Der folgende Befehl gibt alle von Amazon EKS erstellten Daten zurück Kubernetes RoleBindingsauf Ihrem Cluster.


kubectl get rolebindings -n kube-system | grep eks

+ Um die Spezifikation für a zu sehenRoleBinding, ersetzen Sie eks:k8s-metrics im folgenden Befehl mit einem, der in der Ausgabe des vorherigen Befehls RoleBinding zurückgegeben wurde. Das folgende Beispiel gibt die Spezifikation für eks:k8s-metrics RoleBinding.


kubectl describe rolebinding eks:k8s-metrics -n kube-system

+ Eine Beispielausgabe sieht wie folgt aus.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Sichere Workloads mit Kubernetes Zertifikate

Verstehen Sie die EKS von Amazon erstellten Pod-Sicherheitsrichtlinien (PSP)