Découvrez comment fonctionne le contrôle d'accès dans Amazon EKS

Découvrez comment gérer l'accès à votre cluster Amazon EKS. L'utilisation d'Amazon EKS nécessite de connaître la manière dont Kubernetes et AWS Identity and Access Management (AWS IAM) gèrent le contrôle d'accès.

Cette section inclut :

Accorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs— Découvrez comment permettre aux applications ou aux utilisateurs de s'authentifier auprès de l'API Kubernetes. Vous pouvez utiliser des entrées d'accès, l'aws-auth ou un ConfigMap fournisseur OIDC externe.

Consultez les ressources Kubernetes dans AWS Management Console— Découvrez comment configurer le AWS Management Console pour communiquer avec votre cluster Amazon EKS. Utilisez la console pour afficher les ressources Kubernetes du cluster, telles que les espaces de noms, les nœuds et les pods.

Connect kubectl à un cluster EKS en créant un fichier kubeconfig— Découvrez comment configurer kubectl pour communiquer avec votre cluster Amazon EKS. Utilisez la AWS CLI pour créer un fichier kubeconfig.

Autoriser les charges de travail Kubernetes à utiliser les comptes de service Kubernetes AWS— Découvrez comment associer un compte de service Kubernetes à IAM Roles AWS . Vous pouvez utiliser Pod Identity ou IAM Roles for Service Accounts (IRSA).

Tâches communes

• Accordez aux développeurs l'accès à l'API Kubernetes. Consultez les ressources Kubernetes dans le. AWS Management Console

  • Solution : utilisez des entrées d'accès pour associer les autorisations Kubernetes RBAC aux utilisateurs ou aux rôles AWS IAM.

• Configurez kubectl pour communiquer avec un cluster Amazon EKS à l'aide AWS des informations d'identification.

  • Solution : utilisez la AWS CLI pour créer un fichier kubeconfig.

• Utilisez un fournisseur d'identité externe, tel que Ping Identity, pour authentifier les utilisateurs auprès de l'API Kubernetes.

  • Solution : associez un fournisseur OIDC externe.

• Donnez aux charges de travail de votre cluster Kubernetes la possibilité d'appeler. AWS APIs

  • Solution : utilisez Pod Identity pour associer un rôle AWS IAM à un compte de service Kubernetes.

Contexte

• Découvrez comment fonctionnent les comptes de service Kubernetes.

• Passez en revue le modèle de contrôle d'accès basé sur les rôles (RBAC) de Kubernetes

• Pour plus d'informations sur la gestion de l'accès aux AWS ressources, consultez le guide de l'utilisateur AWS IAM. Vous pouvez également suivre une formation d'introduction gratuite sur l'utilisation d' AWS IAM.

Considérations relatives au mode automatique EKS

Le mode automatique EKS s'intègre aux entrées d'accès EKS Pod Identity et EKS EKS.

• Le mode automatique EKS utilise des entrées d'accès pour accorder des autorisations Kubernetes au plan de contrôle EKS. Par exemple, les politiques d'accès permettent au mode automatique d'EKS de lire des informations sur les points de terminaison et les services du réseau.

  • Vous ne pouvez pas désactiver les entrées d'accès sur un cluster en mode automatique EKS.

  • Vous pouvez éventuellement activer le aws-authConfigMap.

  • Les entrées d'accès pour le mode automatique EKS sont automatiquement configurées. Vous pouvez consulter ces entrées d'accès, mais vous ne pouvez pas les modifier.

  • Si vous utilisez un NodeClass pour créer un rôle Node IAM personnalisé, vous devez créer une entrée d'accès pour le rôle conformément à la politique EKSAuto NodePolicy d'accès Amazon.

• Si vous souhaitez accorder des autorisations aux charges de travail pour les AWS services, utilisez EKS Pod Identity.

  • Il n'est pas nécessaire d'installer l'agent Pod Identity sur les clusters EKS Auto Mode.