Establecimiento de un nombre de usuario personalizado para las entradas de acceso de EKS - Amazon EKS
Descripción generalGeneración de nombres de usuario predeterminadosEstablecimiento de un nombre de usuario personalizado

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Establecimiento de un nombre de usuario personalizado para las entradas de acceso de EKS

Al crear entradas de acceso para Amazon EKS, puede utilizar el nombre de usuario generado automáticamente o especificar un nombre de usuario personalizado. En esta página se explican ambas opciones y se le guía por la configuración de un nombre de usuario personalizado.

Descripción general

El nombre de usuario de una entrada de acceso se utiliza para identificar la entidad principal de IAM en las pistas de auditoría y los registros de Kubernetes. De forma predeterminada, Amazon EKS genera un nombre de usuario en función del ARN de la identidad de IAM, pero puede especificar un nombre de usuario personalizado si es necesario.

Generación de nombres de usuario predeterminados

Si no especifica ningún valor para el nombre de usuario, Amazon EKS genera automáticamente un nombre de usuario en función de la identidad de IAM:

  • Para usuarios de IAM:

    • EKS establece el nombre de usuario de Kubernetes en el ARN del usuario de IAM

    • Ejemplo:

      {arn-aws}iam::<111122223333>:user/<my-user>

  • Para roles de IAM:

    • EKS establece el nombre de usuario de Kubernetes en función del ARN del rol de IAM

    • El ARN de STS del rol cuando se asume. Amazon EKS agrega {{SessionName}} al rol. Si el ARN del rol que especificó contenía una ruta, Amazon EKS la elimina del nombre de usuario generado.

    • Ejemplo:

      {arn-aws}sts::<111122223333>:assumed-role/<my-role>/{{SessionName}}

A menos que tenga un motivo concreto para especificar su propio nombre de usuario, le recomendamos que no especifique ninguno y deje que Amazon EKS lo genere automáticamente.

Establecimiento de un nombre de usuario personalizado

Al crear una entrada de acceso, puede especificar un nombre de usuario personalizado mediante el parámetro --username:

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --username <custom-username>

Requisitos para los nombres de usuario personalizados

Si especifica un nombre de usuario personalizado:

  • El nombre de usuario no puede empezar por system:, eks:, aws:, amazon: ni iam:.

  • Si el nombre de usuario corresponde a un rol de IAM, le recomendamos que añada {{SessionName}} o {{SessionNameRaw}} al final de este.

    • Si añade {{SessionName}} o {{SessionNameRaw}} a su nombre de usuario, este debe incluir dos puntos antes de {{SessionName}}.