Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Votre cluster possède un point de terminaison d'API Kubernetes. Kubectl utilise cette API. Vous pouvez vous authentifier auprès de cette API à l'aide de deux types d'identités :
-
Un responsable de la gestion des AWS identités et des accès (IAM) (rôle ou utilisateur) : ce type nécessite une authentification auprès d'IAM. Les utilisateurs peuvent se connecter en AWS tant qu'utilisateur IAM ou avec une identité fédérée
en utilisant les informations d'identification fournies par le biais d'une source d'identité. Les utilisateurs ne peuvent se connecter qu'avec une identité fédérée si votre administrateur a précédemment configuré une fédération d'identité avec des rôles IAM. Lorsque les utilisateurs accèdent AWS par le biais de la fédération, ils assument indirectement un rôle. Lorsque les utilisateurs utilisent ce type d'identité : -
Vous pouvez leur attribuer des autorisations Kubernetes afin qu'ils puissent travailler avec des objets Kubernetes sur votre cluster. Pour plus d'informations sur la façon d'attribuer des autorisations à vos principaux IAM afin qu'ils puissent accéder aux objets Kubernetes de votre cluster, consultez. Accorder aux utilisateurs IAM l'accès à Kubernetes avec des entrées d'accès EKS
-
Vous pouvez leur attribuer des autorisations IAM afin qu'ils puissent travailler avec votre cluster Amazon EKS et ses ressources à l'aide de l'API, de la AWS CLI AWS CloudFormation AWS Management Console, ou
eksctld'Amazon EKS. Pour plus d'informations, consultez la rubrique Actions définies par Amazon Elastic Kubernetes Service dans la Référence des autorisations de service. -
Les nœuds rejoignent votre cluster en endossant un rôle IAM. La possibilité d'accéder à votre cluster à l'aide des principes IAM est fournie par l'authentificateur AWS IAM pour Kubernetes
, qui s'exécute sur le plan de contrôle Amazon EKS.
-
-
Un utilisateur de votre propre fournisseur OpenID Connect (OIDC) : ce type nécessite une authentification auprès de votre fournisseur OIDC.
Pour plus d'informations sur la configuration de votre propre fournisseur OIDC avec votre cluster Amazon EKS, consultezAccorder aux utilisateurs l'accès à Kubernetes avec un fournisseur OIDC externe. Lorsque les utilisateurs utilisent ce type d'identité : -
Vous pouvez leur attribuer des autorisations Kubernetes afin qu'ils puissent travailler avec des objets Kubernetes sur votre cluster.
-
Impossible de leur attribuer des autorisations IAM afin qu'ils puissent travailler avec votre cluster Amazon EKS et ses ressources à l'aide de l'API, de la AWS CLI ou
eksctlde Amazon EKS. AWS CloudFormation AWS Management Console
-
Vous pouvez utiliser les deux types d'identités avec votre cluster. La méthode d'authentification IAM ne peut pas être désactivée. La méthode d'authentification OIDC est facultative.
Associer les identités IAM aux autorisations Kubernetes
L'authentificateur AWS IAM pour Kubernetes
-
Création d'entrées d'accès : si votre cluster correspond à la version de plate-forme répertoriée dans la section Conditions requises pour la version Kubernetes de votre cluster ou est ultérieure à celle-ci, nous vous recommandons d'utiliser cette option.
Utilisez les entrées d'accès pour gérer les autorisations Kubernetes des principaux IAM depuis l'extérieur du cluster. Vous pouvez ajouter et gérer l'accès au cluster à l'aide de l'API EKS, de l'interface de ligne de AWS commande AWS SDKs AWS CloudFormation,, et AWS Management Console. Cela signifie que vous pouvez gérer les utilisateurs avec les mêmes outils que ceux avec lesquels vous avez créé le cluster.
Pour commencer, suivez Changer le mode d'authentification pour utiliser les entrées d'accès, puis Migration des entrées aws-auth existantes pour accéder aux ConfigMap entrées.
-
Ajouter des entrées au
aws-authConfigMap— Si la version de la plate-forme de votre cluster est antérieure à la version répertoriée dans la section Conditions préalables, vous devez utiliser cette option. Si la version de plate-forme de votre cluster est identique ou ultérieure à la version de plate-forme répertoriée dans la section Conditions requises pour la version Kubernetes de votre cluster, et que vous y avez ajouté des entréesConfigMap, nous vous recommandons de migrer ces entrées vers des entrées d'accès. Vous ne pouvezConfigMaptoutefois pas migrer les entrées qu'Amazon EKS y a ajoutées, telles que les entrées pour les rôles IAM utilisés avec des groupes de nœuds gérés ou des profils Fargate. Pour de plus amples informations, veuillez consulter Accorder aux utilisateurs et aux rôles IAM l'accès à Kubernetes APIs.-
Si vous devez utiliser l'option
ConfigMapaws-auth, vous pouvez ajouter des entrées à laConfigMapà l'aide de la commandeeksctl create iamidentitymapping. Pour plus d'informations, consultez la section Gérer les utilisateurs et les rôles IAMdans la documentation eksctl.
-
Définir le mode d'authentification du cluster
Chaque cluster possède un mode d'authentification. Le mode d'authentification détermine les méthodes que vous pouvez utiliser pour autoriser les principaux IAM à accéder aux objets Kubernetes de votre cluster. Il existe trois modes d'authentification.
Important
Une fois que la méthode de saisie d'accès est activée, elle ne peut pas être désactivée.
Si la ConfigMap méthode n'est pas activée lors de la création du cluster, elle ne pourra pas être activée ultérieurement. La ConfigMap méthode est activée pour tous les clusters créés avant l'introduction des entrées d'accès.
Si vous utilisez des nœuds hybrides avec votre cluster, vous devez utiliser les modes d'authentification API ou de API_AND_CONFIG_MAP cluster.
- L'
aws-authConfigMapintérieur du cluster -
Il s'agit du mode d'authentification d'origine pour les clusters Amazon EKS. Le principal IAM qui a créé le cluster est l'utilisateur initial à avoir accès au cluster au moyen de
kubectl. L'utilisateur initial doit ajouter d'autres utilisateurs à la liste dans laConfigMapaws-authet attribuer des autorisations qui affectent les autres utilisateurs au sein du cluster. Ces autres utilisateurs ne peuvent pas gérer ou supprimer l'utilisateur initial, car il n'y a aucune entréeConfigMapà gérer dans le. - À la fois les entrées
ConfigMapet les entrées d'accès -
Avec ce mode d'authentification, vous pouvez utiliser les deux méthodes pour ajouter des principaux IAM au cluster. Notez que chaque méthode stocke des entrées distinctes ; par exemple, si vous ajoutez une entrée d'accès depuis la AWS CLI, elle n'
aws-authConfigMapest pas mise à jour. - Accès aux entrées uniquement
-
Avec ce mode d'authentification, vous pouvez utiliser l'API EKS, l'interface de ligne de AWS commande AWS SDKs, AWS CloudFormation, et AWS Management Console pour gérer l'accès au cluster pour les principaux IAM.
Chaque entrée d'accès possède un type et vous pouvez utiliser la combinaison d'une portée d'accès pour limiter le principal à un espace de noms spécifique et d'une stratégie d'accès pour définir des politiques d'autorisations réutilisables préconfigurées. Vous pouvez également utiliser le type STANDARD et les groupes Kubernetes RBAC pour attribuer des autorisations personnalisées.
| Mode d’authentification | Méthodes |
|---|---|
|
|
|
|
API EKS et |
accéder aux entrées dans l'API EKS, l'interface de ligne de AWS commande AWS SDKs AWS CloudFormation,, AWS Management Console et |
|
API EKS uniquement ( |
accéder aux entrées de l'API EKS, de l'interface de ligne de AWS commande AWS SDKs AWS CloudFormation, et AWS Management Console |
Note
Le mode automatique d'Amazon EKS nécessite des entrées Access.
