Présentation Prérequis Étape 1 : définir l'entrée d'accès Étape 2 : créer une entrée d'accès avec des groupes Kubernetes Étape 3 : configurer Kubernetes RBAC Étapes suivantes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Créez une entrée d'accès à l'aide de groupes Kubernetes avec la CLI AWS

Créez des entrées d'accès Amazon EKS qui utilisent des groupes Kubernetes pour l'autorisation et nécessitent une configuration RBAC manuelle.

Note

Dans la plupart des cas d'utilisation, nous recommandons d'utiliser les politiques d'accès EKS au lieu de l'approche des groupes Kubernetes décrite sur cette page. Les politiques d'accès EKS fournissent un moyen plus simple et plus AWS intégré de gérer l'accès sans nécessiter de configuration manuelle du RBAC. Utilisez l'approche des groupes Kubernetes uniquement lorsque vous avez besoin d'un contrôle plus précis que celui proposé par les politiques d'accès EKS.

Présentation

Les entrées d'accès définissent la manière dont les identités IAM (utilisateurs et rôles) accèdent à vos clusters Kubernetes. L'approche des groupes Kubernetes accorde aux utilisateurs ou aux rôles IAM l'autorisation d'accéder à votre cluster EKS via des groupes Kubernetes RBAC standard. Cette méthode nécessite la création et la gestion des ressources RBAC Kubernetes (rôles, RoleBindings ClusterRoles, et ClusterRoleBindings) et est recommandée lorsque vous avez besoin d'ensembles d'autorisations hautement personnalisés, d'exigences d'autorisation complexes ou lorsque vous souhaitez maintenir des modèles de contrôle d'accès cohérents dans les environnements Kubernetes hybrides.

Cette rubrique ne couvre pas la création d'entrées d'accès pour les identités IAM utilisées pour que les EC2 instances Amazon rejoignent des clusters EKS.

Prérequis

Le mode d'authentification de votre cluster doit être configuré pour autoriser les entrées d'accès. Pour de plus amples informations, veuillez consulter Modifier le mode d'authentification pour utiliser les entrées d'accès.
Installez et configurez la AWS CLI, comme décrit dans la section Installation du guide de l'utilisateur de l'interface de ligne de AWS commande.
Il est recommandé de se familiariser avec Kubernetes RBAC. Pour plus d'informations, consultez Utilisation de l'autorisation RBAC dans la documentation Kubernetes.

Étape 1 : définir l'entrée d'accès

Recherchez l'ARN de l'identité IAM, tel qu'un utilisateur ou un rôle, auquel vous souhaitez accorder des autorisations.
- Chaque identité IAM ne peut avoir qu'une seule entrée d'accès EKS.
Déterminez les groupes Kubernetes que vous souhaitez associer à cette identité IAM.
- Vous devrez créer ou utiliser des ClusterRoleBinding ressources KubernetesRole/ClusterRoleetRoleBinding/existantes qui font référence à ces groupes.
Déterminez si le nom d'utilisateur généré automatiquement convient à l'entrée d'accès ou si vous devez spécifier un nom d'utilisateur manuellement.
- AWS génère automatiquement cette valeur en fonction de l'identité IAM. Vous pouvez définir un nom d'utilisateur personnalisé. Cela est visible dans les journaux Kubernetes.
- Pour de plus amples informations, veuillez consulter Définissez un nom d'utilisateur personnalisé pour les entrées d'accès EKS.

Étape 2 : créer une entrée d'accès avec des groupes Kubernetes

Après avoir planifié l'entrée d'accès, utilisez la AWS CLI pour la créer avec les groupes Kubernetes appropriés.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Remplacer :

<cluster-name>avec le nom de votre cluster EKS
<iam-identity-arn>avec l'ARN de l'utilisateur ou du rôle IAM
<groups>avec une liste de groupes Kubernetes séparés par des virgules (par exemple, « system:developers, system:readers »)

Consultez la référence de la CLI pour toutes les options de configuration.

Étape 3 : configurer Kubernetes RBAC

Pour que le principal IAM ait accès aux objets Kubernetes de votre cluster, vous devez créer et gérer des objets de contrôle d'accès basé sur les rôles (RBAC) Kubernetes :

Créez des Kubernetes Role ou des ClusterRole objets qui définissent les autorisations.
Créez des Kubernetes RoleBinding ou des ClusterRoleBinding objets sur votre cluster qui spécifient le nom du groupe sous forme de for. subject kind: Group

Pour des informations détaillées sur la configuration des groupes et des autorisations dans Kubernetes, consultez la section Utilisation de l'autorisation RBAC dans la documentation de Kubernetes.

Étapes suivantes

Créez un kubeconfig afin de pouvoir utiliser kubectl avec une identité IAM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Tutoriel : Création avec une politique d'accès

aws-auth ConfigMap