Autorisation des utilisateurs à accéder à votre cluster - Amazon EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation des utilisateurs à accéder à votre cluster

Deux types d'identités peuvent accéder à votre cluster Amazon EKS :

  • Un principal AWS Identity and Access Management (IAM) (rôle ou utilisateur) : ce type nécessite une authentification auprès d'IAM. Les utilisateurs peuvent se connecter à AWS en tant qu'utilisateur IAM ou avec une identité fédérée à l'aide des informations d'identification fournies par le biais d'une source d'identité. Les utilisateurs ne peuvent se connecter qu'avec une identité fédérée si votre administrateur a précédemment configuré une fédération d'identité avec des rôles IAM. Lorsque les utilisateurs accèdent à AWS en utilisant la fédération, ils endossent indirectement un rôle. Lorsque les utilisateurs utilisent ce type d'identité :

    Les nœuds rejoignent votre cluster en endossant un rôle IAM. La capacité à accéder à votre cluster à l'aide des principaux IAM est fournie par l'authentificateur IAM AWS pour Kubernetes, qui s'exécute sur le plan de contrôle Amazon EKS.

  • Un utilisateur de votre propre fournisseur OpenID Connect (OIDC) : ce type nécessite une authentification auprès de votre fournisseur OIDC. Pour de plus amples informations sur la configuration de votre propre fournisseur OIDC avec votre cluster Amazon EKS, veuillez consulter Authentification des utilisateurs de votre cluster à partir d'un fournisseur d'identité OpenID Connect. Lorsque les utilisateurs utilisent ce type d'identité :

    • Vous pouvez leur attribuer des autorisations Kubernetes afin qu'ils puissent travailler avec des objets Kubernetes de votre cluster.

    • Vous ne pouvez pas leur attribuer des autorisations IAM afin qu'ils puissent travailler avec votre cluster Amazon EKS et ses ressources à l'aide de l'API Amazon EKS, AWS CLI, AWS CloudFormation, AWS Management Console ou eksctl.

Vous pouvez utiliser les deux types d'identités avec votre cluster. Les utilisateurs doivent configurer leur fichier kubectl config pour accéder aux objets Kubernetes de votre cluster. Pour configurer un fichier kube config pour les identités IAM, consultez Création ou mise à jour d'un fichier kubeconfig pour un cluster Amazon EKS. Pour configurer un fichier kube config à utiliser avec les identités de votre fournisseur OIDC, consultez la section Utilisation de kubectl dans la documentation Kubernetes.