Membuat entri akses untuk peran IAM atau pengguna menggunakan kebijakan akses dan CLI AWS

Buat entri akses Amazon EKS yang menggunakan kebijakan akses EKS yang AWS dikelola untuk memberikan izin standar identitas IAM untuk mengakses dan mengelola klaster Kubernetes.

Gambaran Umum

Entri akses di Amazon EKS menentukan bagaimana identitas IAM (pengguna dan peran) dapat mengakses dan berinteraksi dengan klaster Kubernetes Anda. Dengan membuat entri akses dengan kebijakan akses EKS, Anda dapat:

• Berikan izin kepada pengguna atau peran IAM tertentu untuk mengakses kluster EKS Anda

• Kontrol izin menggunakan kebijakan akses AWS EKS terkelola yang menyediakan set izin standar yang telah ditentukan

• Izin lingkup ke ruang nama tertentu atau seluruh cluster

• Sederhanakan manajemen akses tanpa memodifikasi aws-auth ConfigMap atau membuat sumber daya Kubernetes RBAC

• Gunakan pendekatan AWS terintegrasi untuk kontrol akses Kubernetes yang mencakup kasus penggunaan umum sambil mempertahankan praktik terbaik keamanan

Pendekatan ini direkomendasikan untuk sebagian besar kasus penggunaan karena memberikan izin standar yang AWS dikelola tanpa memerlukan konfigurasi RBAC Kubernetes manual. Kebijakan akses EKS menghilangkan kebutuhan untuk mengonfigurasi sumber daya Kubernetes RBAC secara manual dan menawarkan set izin yang telah ditentukan sebelumnya yang mencakup kasus penggunaan umum.

Prasyarat

• Mode otentikasi klaster Anda harus dikonfigurasi untuk mengaktifkan entri akses. Untuk informasi selengkapnya, lihat Ubah mode otentikasi untuk menggunakan entri akses.

• Instal dan konfigurasikan AWS CLI, seperti yang dijelaskan dalam Menginstal di Panduan Pengguna Antarmuka Baris AWS Perintah.

Langkah 1: Tentukan entri akses

1. Temukan ARN identitas IAM, seperti pengguna atau peran, yang ingin Anda berikan izin.

   • Setiap identitas IAM hanya dapat memiliki satu entri akses EKS.

2. Tentukan apakah Anda ingin izin kebijakan akses Amazon EKS diterapkan hanya pada namespace Kubernetes tertentu, atau di seluruh klaster.

   • Jika Anda ingin membatasi izin ke namespace tertentu, catat nama namespace.

3. Pilih kebijakan akses EKS yang Anda inginkan untuk identitas IAM. Kebijakan ini memberikan izin dalam klaster. Perhatikan ARN dari kebijakan tersebut.

   • Untuk daftar kebijakan, lihat kebijakan akses yang tersedia.

4. Tentukan apakah nama pengguna yang dibuat secara otomatis sesuai untuk entri akses, atau jika Anda perlu menentukan nama pengguna secara manual.

   • AWS otomatis menghasilkan nilai ini berdasarkan identitas IAM. Anda dapat mengatur nama pengguna khusus. Ini terlihat di log Kubernetes.

   • Untuk informasi selengkapnya, lihat Tetapkan nama pengguna khusus untuk entri akses EKS.

Langkah 2: Buat entri akses

Setelah merencanakan entri akses, gunakan AWS CLI untuk membuatnya.

Contoh berikut mencakup sebagian besar kasus penggunaan. Lihat referensi CLI untuk semua opsi konfigurasi.

Anda akan melampirkan kebijakan akses pada langkah berikutnya.

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Langkah 3: Kebijakan akses asosiasi

Perintah berbeda berdasarkan apakah Anda ingin kebijakan dibatasi pada namespace Kubernetes tertentu.

Anda memerlukan ARN dari kebijakan akses. Tinjau kebijakan akses yang tersedia.

Buat kebijakan tanpa cakupan namespace

aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Buat dengan ruang lingkup namespace

aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Langkah selanjutnya

• Buat kubeconfig sehingga Anda dapat menggunakan kubectl dengan identitas IAM