Présentation Prérequis Étape 1 : définir l'entrée d'accès Étape 2 : Création d'une entrée d'accès Étape 3 : Politique d'accès des associés Étapes suivantes

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Créez une entrée d'accès pour un rôle ou un utilisateur IAM à l'aide d'une politique d'accès et de la AWS CLI

Créez des entrées d'accès Amazon EKS qui utilisent des politiques d'accès EKS AWS gérées pour accorder aux identités IAM des autorisations standardisées pour accéder aux clusters Kubernetes et les gérer.

Présentation

Les entrées d'accès dans Amazon EKS définissent la manière dont les identités IAM (utilisateurs et rôles) peuvent accéder à vos clusters Kubernetes et interagir avec eux. En créant des entrées d'accès avec les politiques d'accès EKS, vous pouvez :

Accordez à des utilisateurs ou à des rôles IAM spécifiques l'autorisation d'accéder à votre cluster EKS
Contrôlez les autorisations à l'aide de politiques d'accès EKS AWS gérées qui fournissent des ensembles d'autorisations standardisés et prédéfinis
Élargir les autorisations à des espaces de noms spécifiques ou à l'échelle du cluster
Simplifiez la gestion des accès sans modifier les ressources aws-auth ConfigMap RBAC de Kubernetes ni en créer
Utilisez une approche AWS intégrée du contrôle d'accès Kubernetes qui couvre les cas d'utilisation courants tout en respectant les meilleures pratiques de sécurité

Cette approche est recommandée pour la plupart des cas d'utilisation car elle fournit des autorisations standardisées et AWS gérées sans nécessiter de configuration manuelle du RBAC de Kubernetes. Les politiques d'accès EKS éliminent le besoin de configurer manuellement les ressources RBAC de Kubernetes et proposent des ensembles d'autorisations prédéfinis qui couvrent les cas d'utilisation courants.

Prérequis

Le mode d'authentification de votre cluster doit être configuré pour autoriser les entrées d'accès. Pour de plus amples informations, veuillez consulter Modifier le mode d'authentification pour utiliser les entrées d'accès.
Installez et configurez la AWS CLI, comme décrit dans la section Installation du guide de l'utilisateur de l'interface de ligne de AWS commande.

Étape 1 : définir l'entrée d'accès

Recherchez l'ARN de l'identité IAM, tel qu'un utilisateur ou un rôle, auquel vous souhaitez accorder des autorisations.
- Chaque identité IAM ne peut avoir qu'une seule entrée d'accès EKS.
Déterminez si vous souhaitez que les autorisations de la politique d'accès Amazon EKS s'appliquent uniquement à un espace de noms Kubernetes spécifique ou à l'ensemble du cluster.
- Si vous souhaitez limiter les autorisations à un espace de noms spécifique, notez le nom de l'espace de noms.
Sélectionnez la politique d'accès EKS que vous souhaitez pour l'identité IAM. Cette politique donne des autorisations au sein du cluster. Notez l'ARN de la politique.
- Pour obtenir la liste des politiques, consultez les politiques d'accès disponibles.
Déterminez si le nom d'utilisateur généré automatiquement convient à l'entrée d'accès ou si vous devez spécifier un nom d'utilisateur manuellement.
- AWS génère automatiquement cette valeur en fonction de l'identité IAM. Vous pouvez définir un nom d'utilisateur personnalisé. Cela est visible dans les journaux Kubernetes.
- Pour de plus amples informations, veuillez consulter Définissez un nom d'utilisateur personnalisé pour les entrées d'accès EKS.

Étape 2 : Création d'une entrée d'accès

Après avoir planifié l'entrée d'accès, utilisez la AWS CLI pour la créer.

L'exemple suivant couvre la plupart des cas d'utilisation. Consultez la référence de la CLI pour toutes les options de configuration.

Vous joindrez la politique d'accès à l'étape suivante.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Étape 3 : Politique d'accès des associés

La commande varie selon que vous souhaitez que la politique soit limitée à un espace de noms Kubernetes spécifié.

Vous avez besoin de l'ARN de la politique d'accès. Passez en revue les politiques d'accès disponibles.

Création d'une politique sans étendue d'espace de noms


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Créer avec la portée de l'espace de noms


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Étapes suivantes

Créez un kubeconfig afin de pouvoir utiliser kubectl avec une identité IAM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Définir un nom d'utilisateur personnalisé

Tutoriel : Création avec des groupes Kubernetes