Présentation Fonctionnalités Comment associer des autorisations Considérations Mise en route

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Accorder aux utilisateurs IAM l'accès à Kubernetes avec des entrées d'accès EKS

Cette section est conçue pour vous montrer comment gérer l'accès principal IAM aux clusters Kubernetes dans Amazon Elastic Kubernetes Service (EKS) à l'aide d'entrées et de politiques d'accès. Vous y trouverez des informations sur la modification des modes d'authentification, la migration depuis des aws-auth ConfigMap entrées existantes, la création, la mise à jour et la suppression d'entrées d'accès, l'association de politiques aux entrées, la révision des autorisations de politique prédéfinies, ainsi que les principales conditions et considérations relatives à la gestion sécurisée des accès.

Présentation

Les entrées d'accès EKS constituent le meilleur moyen d'autoriser les utilisateurs à accéder à l'API Kubernetes. Par exemple, vous pouvez utiliser des entrées d'accès pour autoriser les développeurs à utiliser kubectl. Fondamentalement, une entrée d'accès EKS associe un ensemble d'autorisations Kubernetes à une identité IAM, telle qu'un rôle IAM. Par exemple, un développeur peut assumer un rôle IAM et l'utiliser pour s'authentifier auprès d'un cluster EKS.

Fonctionnalités

Authentification et autorisation centralisées : contrôle l'accès aux clusters Kubernetes directement via Amazon EKS APIs, éliminant ainsi le besoin de basculer entre Kubernetes AWS et APIs Kubernetes pour obtenir les autorisations des utilisateurs.
Gestion granulaire des autorisations : utilise des entrées et des politiques d'accès pour définir des autorisations précises pour les principaux AWS IAM, notamment en modifiant ou en révoquant l'accès du créateur à l'administrateur du cluster.
Intégration des outils IaC : prend en charge l'infrastructure sous forme d'outils de code tels AWS CloudFormation que Terraform et AWS CDK pour définir les configurations d'accès lors de la création du cluster.
Restauration après une mauvaise configuration : permet de restaurer l'accès au cluster via l'API Amazon EKS sans accès direct à l'API Kubernetes.
Réduction des frais généraux et sécurité améliorée : centralise les opérations pour réduire les frais tout en tirant parti des fonctionnalités AWS IAM telles que la journalisation des CloudTrail audits et l'authentification multifactorielle.

Comment associer des autorisations

Vous pouvez associer des autorisations Kubernetes pour accéder aux entrées de deux manières :

Utilisez une politique d'accès. Les politiques d'accès sont des modèles d'autorisations Kubernetes prédéfinis gérés par. AWS Pour de plus amples informations, veuillez consulter Vérifiez les autorisations relatives à la politique d'accès.
Référencez un groupe Kubernetes. Si vous associez une identité IAM à un groupe Kubernetes, vous pouvez créer des ressources Kubernetes qui accordent des autorisations au groupe. Pour plus d'informations, consultez Utilisation de l'autorisation RBAC dans la documentation Kubernetes.

Considérations

Lorsque vous activez les entrées d'accès EKS sur des clusters existants, gardez à l'esprit les points suivants :

Comportement des clusters existants : pour les clusters créés avant l'introduction des entrées d'accès (ceux dont les versions initiales de la plate-forme sont antérieures à celles spécifiées dans les exigences relatives aux versions de la plate-forme), EKS crée automatiquement une entrée d'accès reflétant les autorisations préexistantes. Cette entrée inclut l'identité IAM qui a initialement créé le cluster et les autorisations administratives accordées à cette identité lors de la création du cluster.
Gestion de l'héritage aws-auth ConfigMap : si votre cluster s'appuie sur l'héritage aws-auth ConfigMap pour la gestion des accès, seule l'entrée d'accès du créateur du cluster d'origine est automatiquement créée lors de l'activation des entrées d'accès. Les rôles ou autorisations supplémentaires ajoutés au ConfigMap (par exemple, les rôles IAM personnalisés pour les développeurs ou les services) ne sont pas automatiquement migrés. Pour résoudre ce problème, créez manuellement les entrées d'accès correspondantes.

Mise en route

Déterminez la politique d'identité et d'accès IAM que vous souhaitez utiliser.
- Vérifiez les autorisations relatives à la politique d'accès
Activez les entrées d'accès EKS sur votre cluster. Vérifiez que vous disposez d'une version de plateforme prise en charge.
- Modifier le mode d'authentification pour utiliser les entrées d'accès
Créez une entrée d'accès qui associe une identité IAM à une autorisation Kubernetes.
- Création d'entrées d'accès
Authentifiez-vous auprès du cluster à l'aide de l'identité IAM.
- Configuration de la AWS CLI
- Configurez kubectl et eksctl

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Accès à l'API Kubernetes

Politiques d'accès associées