Panoramica Prerequisiti Fase 1: Definire l'accesso Fase 2: Creare una voce di accesso Fase 3: Associare la politica di accesso Passaggi successivi

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una voce di accesso per un ruolo o un utente IAM utilizzando una policy di accesso e la AWS CLI

Crea voci di accesso Amazon EKS che utilizzano policy di accesso EKS AWS gestite per concedere alle identità IAM autorizzazioni standardizzate per l'accesso e la gestione dei cluster Kubernetes.

Panoramica

Le voci di accesso in Amazon EKS definiscono in che modo le identità IAM (utenti e ruoli) possono accedere e interagire con i tuoi cluster Kubernetes. Creando voci di accesso con le politiche di accesso EKS, puoi:

Concedi a utenti o ruoli IAM specifici l'autorizzazione ad accedere al tuo cluster EKS
Controlla le autorizzazioni utilizzando politiche di accesso EKS AWS gestite che forniscono set di autorizzazioni standardizzati e predefiniti
Ambita le autorizzazioni a namespace specifici o a livello di cluster
Semplifica la gestione degli accessi senza modificare o creare risorse Kubernetes RBAC aws-auth ConfigMap
Utilizza un approccio AWS integrato al controllo degli accessi a Kubernetes che copre i casi d'uso comuni mantenendo al contempo le migliori pratiche di sicurezza

Questo approccio è consigliato per la maggior parte dei casi d'uso perché fornisce autorizzazioni AWS gestite e standardizzate senza richiedere la configurazione manuale di Kubernetes RBAC. Le policy di accesso EKS eliminano la necessità di configurare manualmente le risorse Kubernetes RBAC e offrono set di autorizzazioni predefiniti che coprono casi d'uso comuni.

Prerequisiti

La modalità di autenticazione del cluster deve essere configurata per abilitare gli accessi. Per ulteriori informazioni, consulta Modificare la modalità di autenticazione per utilizzare le voci di accesso.
Installa e configura la AWS CLI, come descritto in Installazione nella Guida per l'utente dell'interfaccia a riga di AWS comando.

Fase 1: Definire l'accesso

Trova l'ARN dell'identità IAM, ad esempio un utente o un ruolo, a cui desideri concedere le autorizzazioni.
- Ogni identità IAM può avere una sola voce di accesso EKS.
Determina se desideri che le autorizzazioni della policy di accesso di Amazon EKS si applichino solo a uno spazio dei nomi Kubernetes specifico o all'intero cluster.
- Se desideri limitare le autorizzazioni a uno spazio dei nomi specifico, prendi nota del nome del namespace.
Seleziona la politica di accesso EKS che desideri per l'identità IAM. Questa politica fornisce autorizzazioni all'interno del cluster. Nota l'ARN della politica.
- Per un elenco delle politiche, consulta le politiche di accesso disponibili.
Determina se il nome utente generato automaticamente è appropriato per la voce di accesso o se devi specificare manualmente un nome utente.
- AWS genera automaticamente questo valore in base all'identità IAM. Puoi impostare un nome utente personalizzato. Questo è visibile nei log di Kubernetes.
- Per ulteriori informazioni, consulta Imposta un nome utente personalizzato per le voci di accesso EKS.

Fase 2: Creare una voce di accesso

Dopo aver pianificato la voce di accesso, utilizza la AWS CLI per crearla.

L'esempio seguente copre la maggior parte dei casi d'uso. Visualizza il riferimento CLI per tutte le opzioni di configurazione.

La politica di accesso verrà allegata nel passaggio successivo.


aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

Fase 3: Associare la politica di accesso

Il comando differisce a seconda che si desideri che la policy sia limitata a uno spazio dei nomi Kubernetes specificato.

È necessario l'ARN della politica di accesso. Rivedi le politiche di accesso disponibili.

Crea policy senza ambito di namespace


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

Crea con namespace scope


aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

Passaggi successivi

Crea un kubeconfig in modo da poter usare kubectl con un'identità IAM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Imposta un nome utente personalizzato

Tutorial: Crea con gruppi Kubernetes