Descripción general Requisitos previos Paso 1: definición de la entrada de acceso Paso 2: creación de una entrada de acceso con grupos de Kubernetes Paso 3: configuración de RBAC de Kubernetes Pasos a seguir a continuación

Creación de una entrada de acceso mediante grupos de Kubernetes con la AWS CLI

Cree entradas de acceso de Amazon EKS que utilicen grupos de Kubernetes para la autorización y que requieran una configuración de RBAC manual.

nota

Para la mayoría de los casos de uso, recomendamos utilizar las políticas de acceso de EKS en lugar del enfoque de grupos de Kubernetes que se describe en esta página. Las políticas de acceso de EKS proporcionan una forma más sencilla e integrada con AWS de administrar el acceso sin requerir una configuración de RBAC manual. Utilice el enfoque de grupos de Kubernetes solo cuando necesite un control más detallado que el que ofrecen las políticas de acceso de EKS.

Descripción general

Las entradas de acceso definen cómo las identidades de IAM (usuarios y roles) acceden a sus clústeres de Kubernetes. El enfoque de grupos de Kubernetes concede a los usuarios o roles de IAM permiso para acceder al clúster de EKS a través de grupos de RBAC estándar de Kubernetes. Este método requiere crear y administrar recursos de RBAC de Kubernetes (Roles, RoleBindings, ClusterRoles y ClusterRoleBindings) y se recomienda cuando se necesitan conjuntos de permisos altamente personalizados, requisitos de autorización complejos o si se desea mantener patrones de control de acceso consistentes en los entornos híbridos de Kubernetes.

En este tema no se trata la creación de entradas de acceso para las identidades de IAM utilizadas para que las instancias de Amazon EC2 se unan a los clústeres de EKS.

Requisitos previos

El modo de autenticación del clúster debe estar configurado para habilitar las entradas de acceso. Para obtener más información, consulte Cambio del modo de autenticación para utilizar las entradas de acceso.
Instale y configure la AWS CLI, tal y como se describe en Instalación en la Guía del usuario de la Interfaz de la línea de comandos de AWS.
Se recomienda haberse familiarizado con RBAC de Kubernetes. Para obtener más información, consulte Utilización de la autorización de RBAC en la documentación de Kubernetes.

Paso 1: definición de la entrada de acceso

Busque el ARN de la identidad de IAM (por ejemplo, un usuario o rol) al que desea conceder permisos.
- Cada identidad de IAM solo puede tener una entrada de acceso a EKS.
Defina los grupos de Kubernetes que desea asociar a esta identidad de IAM.
- Deberás crear o usar los recursos Role/ClusterRole y RoleBinding/ClusterRoleBinding de Kubernetes existentes que hagan referencia a estos grupos.
Determine si el nombre de usuario generado automáticamente es adecuado para la entrada de acceso o si necesita especificar un nombre de usuario manualmente.
- AWS genera automáticamente este valor en función de la identidad de IAM. Puede configurar un nombre de usuario personalizado. Esto es visible en los registros de Kubernetes.
- Para obtener más información, consulte Establecimiento de un nombre de usuario personalizado para las entradas de acceso de EKS.

Paso 2: creación de una entrada de acceso con grupos de Kubernetes

Tras planificar la entrada de acceso, utilice la AWS CLI para crearla con los grupos de Kubernetes correspondientes.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Reemplace:

<cluster-name> por el nombre del clúster de EKS
<iam-identity-arn> por el ARN del rol o usuario de IAM
<groups> por una lista de grupos de Kubernetes separados por comas (por ejemplo, “system:developers,system:readers”)

Consulte la referencia de CLI para ver todas las opciones de configuración.

Paso 3: configuración de RBAC de Kubernetes

Para que la entidad principal de IAM tenga acceso a los objetos de Kubernetes del clúster, debe crear y administrar los objetos de control de acceso basados en roles (RBAC) de Kubernetes:

Cree objetos Role o ClusterRole de Kubernetes que definan los permisos.
Cree objetos RoleBinding o ClusterRoleBinding de Kubernetes en el clúster que especifique el nombre del grupo como subject para kind: Group.

Para obtener información detallada sobre la configuración de grupos y permisos en Kubernetes, consulte Using RBAC Authorization en la documentación de Kubernetes.

Pasos a seguir a continuación

Creación de kubeconfig para poder usar kubectl con una identidad de IAM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Tutorial: creación con una política de acceso

ConfigMap de aws-auth