Descripción general Requisitos previos Paso 1: definición de la entrada de acceso Paso 2: creación de una entrada de acceso Paso 3: asociación de la política de acceso Pasos a seguir a continuación

Creación de una entrada de acceso para un usuario o rol de IAM mediante una política de acceso y la AWS CLI

Cree entradas de acceso a Amazon EKS que utilicen políticas de acceso de EKS administradas de AWS para conceder permisos estandarizados a las identidades de IAM para acceder a los clústeres de Kubernetes y administrarlos.

Descripción general

Las entradas de acceso en Amazon EKS definen cómo las identidades de IAM (usuarios y roles) pueden acceder a sus clústeres de Kubernetes e interactuar con ellos. Al crear entradas de acceso con las políticas de acceso de EKS, puede hacer lo siguiente:

Conceder permisos a roles o usuarios de IAM específicos para acceder a su clúster de EKS
Controlar los permisos mediante políticas de acceso de EKS administradas de AWS que proporcionan conjuntos de permisos estandarizados y predefinidos
Limitar los permisos a espacios de nombres específicos o a todo el clúster
Simplificar la administración del acceso sin modificar aws-auth ConfigMap ni crear recursos de RBAC de Kubernetes
Utilizar un enfoque integrado de AWS para el control de acceso de Kubernetes que trate los casos de uso más comunes y, al mismo tiempo, mantenga las prácticas recomendadas de seguridad

Este enfoque se recomienda para la mayoría de los casos de uso porque proporciona permisos estandarizados y administrados de AWS sin requerir ninguna configuración manual de RBAC de Kubernetes. Las políticas de acceso de EKS eliminan la necesidad de configurar manualmente los recursos de RBAC de Kubernetes y ofrecen conjuntos de permisos predefinidos que tratan los casos de uso más comunes.

Requisitos previos

El modo de autenticación del clúster debe estar configurado para habilitar las entradas de acceso. Para obtener más información, consulte Cambio del modo de autenticación para utilizar las entradas de acceso.
Instale y configure la AWS CLI, tal y como se describe en Instalación en la Guía del usuario de la Interfaz de la línea de comandos de AWS.

Paso 1: definición de la entrada de acceso

Busque el ARN de la identidad de IAM (por ejemplo, un usuario o rol) al que desea conceder permisos.
- Cada identidad de IAM solo puede tener una entrada de acceso a EKS.
Determine si desea que los permisos de la política de acceso de Amazon EKS se apliquen solo a un espacio de nombres de Kubernetes específico o a todo el clúster.
- Si desea limitar los permisos a un espacio de nombres específico, anote el nombre del espacio de nombres.
Seleccione la política de acceso de EKS que desee para la identidad de IAM. Esta política concede permisos en el clúster. Anote el ARN de la política.
- Para ver una lista de políticas, consulte las políticas de acceso disponibles.
Determine si el nombre de usuario generado automáticamente es adecuado para la entrada de acceso o si necesita especificar un nombre de usuario manualmente.
- AWS genera automáticamente este valor en función de la identidad de IAM. Puede configurar un nombre de usuario personalizado. Esto es visible en los registros de Kubernetes.
- Para obtener más información, consulte Establecimiento de un nombre de usuario personalizado para las entradas de acceso de EKS.

Paso 2: creación de una entrada de acceso

Después de planificar la entrada de acceso, utilice la AWS CLI para crearla.

El siguiente ejemplo trata la mayoría de los casos de uso. Consulte la referencia de CLI para ver todas las opciones de configuración.

Adjuntará la política de acceso en el siguiente paso.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Paso 3: asociación de la política de acceso

El comando varía en función de si desea que la política se limite a un espacio de nombres de Kubernetes específico.

Necesita el ARN de la política de acceso. Consulte las políticas de acceso disponibles.

Creación de una política sin ámbito de espacio de nombres


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Creación con ámbito de espacio de nombres


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Pasos a seguir a continuación

Creación de kubeconfig para poder usar kubectl con una identidad de IAM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Establecimiento de un nombre de usuario personalizado

Tutorial: creación de grupos de Kubernetes