Buat entri akses menggunakan grup Kubernetes dengan CLI AWS

Buat entri akses Amazon EKS yang menggunakan grup Kubernetes untuk otorisasi dan memerlukan konfigurasi RBAC manual.

catatan

Untuk sebagian besar kasus penggunaan, sebaiknya gunakan Kebijakan Akses EKS, bukan pendekatan grup Kubernetes yang dijelaskan di halaman ini. Kebijakan Akses EKS menyediakan cara yang lebih sederhana dan lebih AWS terintegrasi untuk mengelola akses tanpa memerlukan konfigurasi RBAC manual. Gunakan pendekatan grup Kubernetes hanya ketika Anda membutuhkan kontrol yang lebih terperinci daripada yang ditawarkan Kebijakan Akses EKS.

Gambaran Umum

Entri akses menentukan bagaimana identitas IAM (pengguna dan peran) mengakses klaster Kubernetes Anda. Pendekatan grup Kubernetes memberikan izin kepada pengguna IAM atau peran untuk mengakses kluster EKS Anda melalui grup RBAC Kubernetes standar. Metode ini memerlukan pembuatan dan pengelolaan sumber daya Kubernetes RBAC (Peran,, RoleBindings ClusterRoles, dan ClusterRoleBindings) dan direkomendasikan ketika Anda membutuhkan set izin yang sangat disesuaikan, persyaratan otorisasi yang kompleks, atau ingin mempertahankan pola kontrol akses yang konsisten di seluruh lingkungan Kubernetes hybrid.

Topik ini tidak mencakup pembuatan entri akses untuk identitas IAM yang digunakan untuk EC2 instans Amazon untuk bergabung dengan kluster EKS.

Prasyarat

• Mode otentikasi klaster Anda harus dikonfigurasi untuk mengaktifkan entri akses. Untuk informasi selengkapnya, lihat Ubah mode otentikasi untuk menggunakan entri akses.

• Instal dan konfigurasikan AWS CLI, seperti yang dijelaskan dalam Menginstal di Panduan Pengguna Antarmuka Baris AWS Perintah.

• Keakraban dengan Kubernetes RBAC direkomendasikan. Untuk informasi selengkapnya, lihat Menggunakan Otorisasi RBAC dalam dokumentasi Kubernetes.

Langkah 1: Tentukan entri akses

1. Temukan ARN identitas IAM, seperti pengguna atau peran, yang ingin Anda berikan izin.

   • Setiap identitas IAM hanya dapat memiliki satu entri akses EKS.

2. Tentukan grup Kubernetes mana yang ingin Anda kaitkan dengan identitas IAM ini.

   • Anda perlu membuat atau menggunakan ClusterRoleBinding sumber daya KubernetesRole/ClusterRoledanRoleBinding/yang sudah ada yang mereferensikan kelompok-kelompok ini.

3. Tentukan apakah nama pengguna yang dibuat secara otomatis sesuai untuk entri akses, atau jika Anda perlu menentukan nama pengguna secara manual.

   • AWS otomatis menghasilkan nilai ini berdasarkan identitas IAM. Anda dapat mengatur nama pengguna khusus. Ini terlihat di log Kubernetes.

   • Untuk informasi selengkapnya, lihat Tetapkan nama pengguna khusus untuk entri akses EKS.

Langkah 2: Buat entri akses dengan grup Kubernetes

Setelah merencanakan entri akses, gunakan AWS CLI untuk membuatnya dengan grup Kubernetes yang sesuai.

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Ganti:

• <cluster-name>dengan nama cluster EKS Anda

• <iam-identity-arn>dengan ARN pengguna atau peran IAM

• <groups>dengan daftar grup Kubernetes yang dipisahkan koma (misalnya, “system:developers, system:readers”)

Lihat referensi CLI untuk semua opsi konfigurasi.

Langkah 3: Konfigurasikan Kubernetes RBAC

Agar prinsipal IAM memiliki akses ke objek Kubernetes di klaster Anda, Anda harus membuat dan mengelola objek kontrol akses berbasis peran (RBAC) Kubernetes:

1. Buat Kubernetes Role atau ClusterRole objek yang menentukan izin.

2. Buat Kubernetes RoleBinding atau ClusterRoleBinding objek pada klaster Anda yang menentukan nama grup sebagai for. subject kind: Group

Untuk informasi rinci tentang mengonfigurasi grup dan izin di Kubernetes, lihat Menggunakan Otorisasi RBAC di dokumentasi Kubernetes.

Langkah selanjutnya

• Buat kubeconfig sehingga Anda dapat menggunakan kubectl dengan identitas IAM