Autenticazione cluster

Amazon EKS usa IAM per fornire l'autenticazione per il cluster Kubernetes (tramite il comando aws eks get-token, disponibile nella versione 1.16.156 o successiva di AWS CLI, o tramite AWS l'Autenticatore IAM per Kubernetes), ma si affida ancora al Controllo degli Accessi Basato sul Ruolo (RBAC) su Kubernetes nativo per l'autorizzazione. Questo significa che IAM viene utilizzato solo per l'autenticazione di entità IAM valide. Tutte le autorizzazioni per l'interazione con l'API Kubernetes del cluster Amazon EKS vengono gestite tramite il sistema RBAC di Kubernetes nativo. La seguente immagine mostra questa relazione.

Nota

Amazon EKS utilizza il token di autenticazione per creare la chiamata sts:GetCallerIdentity. Di conseguenza, gli eventi AWS CloudTrail con il nome GetCallerIdentity dall'origine sts.amazonaws.com possono avere gli indirizzi IP del servizio Amazon EKS come indirizzo IP di origine.

Argomenti

• Abilitazione dell'accesso a utenti e ruoli IAM al cluster
• Autenticazione degli utenti per il cluster da un provider di identità OpenID Connect
• Creazione di un kubeconfig per Amazon EKS
• Installazione di aws-iam-authenticator
• Ruoli e utenti di default di Amazon EKS Kubernetes