Autenticazione cluster - Amazon EKS

Autenticazione cluster

Amazon EKS usa IAM per fornire l'autenticazione per il cluster Kubernetes (tramite il comando aws eks get-token, disponibile nella versione 1.16.156 o successiva di AWS CLI, o tramite AWS l'Autenticatore IAM per Kubernetes), ma si affida ancora al Controllo degli Accessi Basato sul Ruolo (RBAC) su Kubernetes nativo per l'autorizzazione. Questo significa che IAM viene utilizzato solo per l'autenticazione di entità IAM valide. Tutte le autorizzazioni per l'interazione con l'API Kubernetes del cluster Amazon EKS vengono gestite tramite il sistema RBAC di Kubernetes nativo. La seguente immagine mostra questa relazione.


            Integrazione di Amazon EKS e IAM
Nota

Amazon EKS utilizza il token di autenticazione per creare la chiamata sts:GetCallerIdentity. Di conseguenza, gli eventi AWS CloudTrail con il nome GetCallerIdentity dall'origine sts.amazonaws.com possono avere gli indirizzi IP del servizio Amazon EKS come indirizzo IP di origine.