Concessione dell'accesso a un utente per la visualizzazione di un cluster - Amazon EKS

Concessione dell'accesso a un utente per la visualizzazione di un cluster

Concedere agli utenti IAM aggiuntivi l'accesso alla console Amazon EKS per visualizzare informazioni sui carichi di lavoro e sui pod Kubernetes in esecuzione sul cluster connesso.

Prerequisiti

L'utente o ruolo IAM utilizzato per accedere alla AWS Management Console deve soddisfare i seguenti requisiti.

  • Ha l'autorizzazione eks:AccessKubernetesApi.

  • L'account di servizio Amazon EKS Connector dovrebbe essere in grado di rappresentare l'IAM o il ruolo nel cluster. Ciò consente al connettore eks di mappare l'utente o il ruolo IAM a un utente Kubernetes.

Per creare e applicare il ruolo del cluster Amazon EKS Connector

  1. Eseguire il download del modello di ruolo del cluster eks-connector.

    curl -o eks-connector-clusterrole.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. Modificare il file YAML del modello di ruolo del cluster. Sostituire i riferimenti di %IAM_ARN% con l'Amazon Resource Name (ARN) del ruolo o dell'utente IAM.

  3. Applicare il ruolo del cluster Amazon EKS Connector YAML al cluster Kubernetes.

    kubectl apply -f eks-connector-clusterrole.yaml

Affinché un utente o un ruolo IAM possa visualizzare i carichi di lavoro sulla console Amazon EKS, questi devono essere associati a un role o clusterrole Kubernetes con le autorizzazioni necessarie per eseguire la lettura di queste risorse. Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di Kubernetes.

Configurazione di un utente IAM per accedere al cluster connesso

  1. É possibile eseguire il download del file manifesto di esempio per creare un clusterrole e clusterrolebinding o un role e rolebinding:

    • Visualizzare le risorse Kubernetes in tutti gli spazi dei nomi – Il ruolo del cluster eks-connector-console-dashboard-full-access-clusterrole consente di accedere a tutti gli spazi dei nomi e alle risorse visualizzabili nella console. É possibile modificare il nome di role, clusterrole e il loro legame corrispondente prima di applicarlo al cluster. Utilizzare il seguente comando per eseguire il download di un file di esempio.

      curl -o eks-connector-console-dashboard-full-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    • Visualizzare le risorse Kubernetes in uno spazio dei nomi specifico – Lo spazio dei nomi in questo file è default, quindi se si desidera specificare uno spazio dei nomi diverso, modificare il file prima di applicarlo al cluster. Utilizzare il comando seguente per avviare il download di un file di esempio.

      curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. Modificare il file YAML con accesso completo o con accesso limitato per sostituire i riferimenti di %IAM_ARN% con l'Amazon Resource Name (ARN) del ruolo o dell'utente IAM.

  3. Applicare i file YAML ad accesso completo o limitato al cluster Kubernetes. Sostituire il valore del file YAML con il proprio valore.

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

Per visualizzare i nodi e i cluster connessi, vedere Visualizzazione dei nodi. Per visualizzare i carichi di lavoro, vedere Visualizzazione dei carichi di lavoro. Tenere presente che alcuni dati dei nodi e dei carichi di lavoro non verranno popolati per i cluster connessi.