Concesión de acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS - Amazon EKS
Descripción generalCaracterísticasCómo adjuntar permisosConsideracionesIntroducción

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Concesión de acceso para los usuarios de IAM a las entradas de acceso de Kubernetes con EKS

Esta sección está diseñada para mostrarle cómo administrar el acceso de la entidad principal de IAM a los clústeres de Kubernetes en Amazon Elastic Kubernetes Service (EKS) utilizando entradas y políticas de acceso. Encontrará detalles sobre cómo cambiar los modos de autenticación, cómo migrar desde entradas de aws-auth ConfigMap heredadas, cómo crear, actualizar y eliminar entradas de acceso, cómo asociar políticas a entradas, cómo revisar los permisos de políticas predefinidas y los requisitos previos y las consideraciones clave para la administración segura del acceso.

Descripción general

Las entradas de acceso de EKS son la mejor forma de conceder acceso a la API de Kubernetes a los usuarios. Por ejemplo, puede utilizar entradas de acceso para conceder a los desarrolladores acceso para utilizar kubectl. Básicamente, una entrada de acceso de EKS asocia un conjunto de permisos de Kubernetes a una identidad de IAM, como un rol de IAM. Por ejemplo, un desarrollador puede asumir un rol de IAM y utilizarlo para autenticarse en un clúster de EKS.

Características

  • Autenticación y autorización centralizadas: controla el acceso a los clústeres de Kubernetes directamente a través de las API de Amazon EKS, lo que elimina la necesidad de cambiar entre las API de AWS y de Kubernetes para obtener permisos de usuario.

  • Administración detallada de los permisos: utiliza entradas y políticas de acceso para definir permisos detallados para las entidades principales de AWS IAM, incluida la capacidad de modificar o revocar los permisos de administrador del clúster a su creador.

  • Integración con la herramienta de IaC: admite infraestructura como herramientas de código, como AWS CloudFormation, Terraform y AWS CDK, lo que permite definir las configuraciones de acceso durante la creación del clúster.

  • Recuperación de errores de configuración: permite restaurar el acceso al clúster a través de la API de Amazon EKS sin acceso directo a la API de Kubernetes.

  • Reducción de gastos y seguridad mejorada: centraliza las operaciones para reducir los gastos al tiempo que aprovecha las características de AWS IAM, como el registro de auditorías de CloudTrail y la autenticación multifactor.

Cómo adjuntar permisos

Puede asociar permisos de Kubernetes a entradas de acceso dos maneras:

  • Utilice una política de acceso. Las políticas de acceso son plantillas de permisos de Kubernetes predefinidas mantenidas por AWS. Para obtener más información, consulte Revisión de los permisos de la política de acceso.

  • Haga referencia a un grupo de Kubernetes. Si asocia una identidad de IAM a un grupo de Kubernetes, podrá crear recursos de Kubernetes que concedan permisos al grupo. Para obtener más información, consulte Utilización de la autorización de RBAC en la documentación de Kubernetes.

Consideraciones

Al habilitar las entradas de acceso de EKS en los clústeres existentes, se debe tener en cuenta lo siguiente:

  • Comportamiento de los clústeres heredados: para los clústeres creados antes de la introducción de las entradas de acceso (aquellos con versiones de la plataforma iniciales anteriores a las especificadas en los requisitos de versión de la plataforma), EKS crea automáticamente una entrada de acceso que refleja los permisos preexistentes. Esta entrada incluye la identidad de IAM que creó originalmente el clúster y los permisos administrativos otorgados a esa identidad durante la creación del clúster.

  • Gestión del aws-auth ConfigMap heredado: si su clúster se basa en el aws-auth ConfigMap heredado para la administración del acceso, solo se crea automáticamente la entrada de acceso del creador del clúster original al habilitar las entradas de acceso. Los roles o permisos adicionales agregados al ConfigMap (por ejemplo, roles de IAM personalizados para desarrolladores o servicios) no se migran automáticamente. Para solucionarlo, se deben crear manualmente las entradas de acceso correspondientes.

Introducción

  1. Determine la identidad de IAM y la política de acceso que desea utilizar.

  2. Habilite las entradas de acceso de EKS en el clúster. Confirme que tiene una versión de la plataforma compatible.

  3. Cree una entrada de acceso que asocie una identidad de IAM a un permiso de Kubernetes.

  4. Autentíquese en el clúster mediante la identidad de IAM.