Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Que sont les entrées d'accès EKS ?
Les entrées d'accès EKS constituent le meilleur moyen d'autoriser les utilisateurs à accéder à l'API Kubernetes. Par exemple, vous pouvez utiliser des entrées d'accès pour autoriser les développeurs à utiliser kubectl.
Fondamentalement, une entrée d'accès EKS associe un ensemble d'autorisations Kubernetes à une identité IAM, telle qu'un rôle IAM. Par exemple, un développeur peut assumer un rôle IAM et l'utiliser pour s'authentifier auprès d'un cluster EKS.
Vous pouvez associer des autorisations Kubernetes pour accéder aux entrées de deux manières :
-
Utilisez une politique d'accès. Les politiques d'accès sont des modèles d'autorisations Kubernetes prédéfinis gérés par. AWS Pour de plus amples informations, veuillez consulter Vérifiez les autorisations relatives à la politique d'accès.
-
Référencez un groupe Kubernetes. Si vous associez une identité IAM à un groupe Kubernetes, vous pouvez créer des ressources Kubernetes qui accordent des autorisations au groupe. Pour plus d'informations, consultez Utilisation de l'autorisation RBAC
dans la documentation Kubernetes.
Avantages
La gestion de l'accès aux clusters Amazon EKS vous permet de contrôler l'authentification et l'autorisation pour vos clusters Kubernetes directement via Amazon EKS. APIs Cette fonctionnalité simplifie la gestion des accès en éliminant le besoin de basculer entre Kubernetes AWS et Kubernetes APIs lors de la gestion des autorisations des utilisateurs. À l'aide des entrées d'accès et des politiques d'accès, vous pouvez définir des autorisations détaillées pour les principaux AWS IAM, notamment la possibilité de modifier ou de révoquer les autorisations d'administrateur du cluster accordées au créateur du cluster.
Cette fonctionnalité s'intègre aux outils d'infrastructure sous forme de code (IaC) tels que AWS CloudFormation Terraform et AWS CDK, vous permettant de définir des configurations d'accès lors de la création du cluster. En cas de mauvaise configuration, vous pouvez restaurer l'accès au cluster via l'API Amazon EKS sans avoir besoin d'un accès direct à l'API Kubernetes. Cette approche centralisée réduit les frais opérationnels et améliore la sécurité en tirant parti des fonctionnalités AWS IAM existantes, telles que la journalisation des CloudTrail audits et l'authentification multifactorielle.
Démarrer
-
Déterminez la politique d'identité et d'accès IAM que vous souhaitez utiliser.
-
Activez les entrées d'accès EKS sur votre cluster. Vérifiez que vous disposez d'une version de plateforme prise en charge.
-
Créez une entrée d'accès qui associe une identité IAM à une autorisation Kubernetes.
-
Authentifiez-vous auprès du cluster à l'aide de l'identité IAM.
Configuration d'accès au cluster héritée
Lorsque vous activez les entrées d'accès EKS sur des clusters créés avant l'introduction de cette fonctionnalité (clusters dont les versions de plate-forme initiales sont antérieures à celles spécifiées dans les exigences relatives aux versions de plate-forme), EKS crée automatiquement une entrée d'accès qui reflète les autorisations préexistantes. Cette entrée d'accès indique :
-
L'identité IAM à l'origine de la création du cluster
-
Les autorisations administratives accordées à cette identité lors de la création du cluster
Note
Auparavant, cet accès administratif était accordé automatiquement et ne pouvait pas être modifié. Lorsque les entrées d'accès EKS sont activées, vous pouvez désormais consulter et supprimer cette ancienne configuration d'accès.
