Panoramica Prerequisiti Fase 1: Definire l'accesso Passaggio 2: crea una voce di accesso con i gruppi Kubernetes Fase 3: Configurare Kubernetes RBAC Passaggi successivi

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una voce di accesso utilizzando i gruppi Kubernetes con la CLI AWS

Crea voci di accesso Amazon EKS che utilizzano gruppi Kubernetes per l'autorizzazione e richiedono una configurazione RBAC manuale.

Nota

Per la maggior parte dei casi d'uso, consigliamo di utilizzare le politiche di accesso EKS anziché l'approccio dei gruppi Kubernetes descritto in questa pagina. Le politiche di accesso EKS forniscono un modo più semplice e AWS integrato per gestire l'accesso senza richiedere la configurazione RBAC manuale. Utilizza l'approccio dei gruppi Kubernetes solo quando hai bisogno di un controllo più granulare di quello offerto dalle politiche di accesso EKS.

Panoramica

Le voci di accesso definiscono in che modo le identità IAM (utenti e ruoli) accedono ai cluster Kubernetes. L'approccio dei gruppi Kubernetes concede agli utenti o ai ruoli IAM l'autorizzazione ad accedere al cluster EKS tramite gruppi Kubernetes RBAC standard. Questo metodo richiede la creazione e la gestione di risorse Kubernetes RBAC (Roles,, e ClusterRoleBindings) ed è consigliato quando sono necessari set di autorizzazioni altamente personalizzati RoleBindings ClusterRoles, requisiti di autorizzazione complessi o si desidera mantenere modelli di controllo degli accessi coerenti in ambienti Kubernetes ibridi.

Questo argomento non copre la creazione di voci di accesso per le identità IAM utilizzate per le EC2 istanze Amazon per unirsi ai cluster EKS.

Prerequisiti

La modalità di autenticazione del cluster deve essere configurata per abilitare le voci di accesso. Per ulteriori informazioni, consulta Modificare la modalità di autenticazione per utilizzare le voci di accesso.
Installa e configura la AWS CLI, come descritto in Installazione nella Guida per l'utente dell'interfaccia a riga di AWS comando.
È consigliata la familiarità con Kubernetes RBAC. Per ulteriori informazioni, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di Kubernetes.

Fase 1: Definire l'accesso

Trova l'ARN dell'identità IAM, ad esempio un utente o un ruolo, a cui desideri concedere le autorizzazioni.
- Ogni identità IAM può avere solo una voce di accesso EKS.
Determina quali gruppi Kubernetes desideri associare a questa identità IAM.
- Dovrai creare o utilizzare le risorse KubernetesRole/ClusterRoleeRoleBinding/ClusterRoleBindingesistenti che fanno riferimento a questi gruppi.
Determina se il nome utente generato automaticamente è appropriato per la voce di accesso o se devi specificare manualmente un nome utente.
- AWS genera automaticamente questo valore in base all'identità IAM. Puoi impostare un nome utente personalizzato. Questo è visibile nei log di Kubernetes.
- Per ulteriori informazioni, consulta Imposta un nome utente personalizzato per le voci di accesso EKS.

Passaggio 2: crea una voce di accesso con i gruppi Kubernetes

Dopo aver pianificato l'accesso, utilizza la AWS CLI per crearlo con i gruppi Kubernetes appropriati.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Sostituisci:

<cluster-name>con il nome del tuo cluster EKS
<iam-identity-arn>con l'ARN dell'utente o del ruolo IAM
<groups>con un elenco separato da virgole di gruppi Kubernetes (ad esempio, «system:developers, system:readers»)

Visualizza il riferimento CLI per tutte le opzioni di configurazione.

Fase 3: Configurare Kubernetes RBAC

Affinché il responsabile IAM abbia accesso agli oggetti Kubernetes sul tuo cluster, devi creare e gestire gli oggetti di controllo degli accessi basati sui ruoli (RBAC) di Kubernetes:

Crea Kubernetes o oggetti che definiscono le autorizzazioni. Role ClusterRole
Crea Kubernetes RoleBinding o ClusterRoleBinding oggetti sul tuo cluster che specificano il nome del gruppo come forma. subject kind: Group

Per informazioni dettagliate sulla configurazione di gruppi e autorizzazioni in Kubernetes, consulta Utilizzo dell'autorizzazione RBAC nella documentazione di Kubernetes.

Passaggi successivi

Crea un kubeconfig in modo da poter usare kubectl con un'identità IAM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tutorial: Crea con policy di accesso

aws-auth ConfigMap