Comprendi i RBAC ruoli e gli utenti EKS creati da Amazon

Quando crei un Kubernetes cluster, diversi valori predefiniti Kubernetes le identità vengono create su quel cluster per il corretto funzionamento di Kubernetes. Amazon EKS crea Kubernetes identità per ciascuno dei suoi componenti predefiniti. Le identità forniscono Kubernetes controllo di autorizzazione basato sui ruoli (RBAC) per i componenti del cluster. Per ulteriori informazioni, vedete Utilizzo RBAC dell'autorizzazione in Kubernetes documentazione.

Quando EKSComponenti aggiuntivi Amazon installi componenti aggiuntivi opzionali nel cluster, ulteriori Kubernetes le identità potrebbero essere aggiunte al cluster. Per ulteriori informazioni sulle identità non trattate in questo argomento, consulta la documentazione del componente aggiuntivo.

Puoi visualizzare l'elenco di Amazon EKS creati Kubernetes identità sul tuo cluster utilizzando lo strumento a riga di kubectl comando AWS Management Console o. Tutte le identità degli utenti vengono visualizzate nei registri di kube controllo disponibili tramite Amazon. CloudWatch

AWS Management Console

.Prerequisito Il IAMprincipale che utilizzi deve disporre delle autorizzazioni descritte in Autorizzazioni richieste. Autorizzazioni richieste

Apri la EKSconsole Amazon.
Nell'elenco Cluster, seleziona il cluster contenente le identità da visualizzare.
Scegliere la scheda Resources (Risorse).
In Resource types (Tipi di risorse), scegli Authorization (Autorizzazione).
Scegli, ClusterRoles, ClusterRoleBindings, Ruoli o RoleBindings. Tutte le risorse precedute da eks sono create da AmazonEKS. Le risorse di identità aggiuntive EKS create da Amazon sono:
- La band ClusterRolesi ClusterRoleBindingchiama aws-node. Le risorse aws-node supportano il VPC CNI plug-in Amazon VPC CNI Amazon per Kubernetes, che EKS Amazon installa su tutti i cluster.
- ClusterRolevpc-resource-controller-roleUn ClusterRoleBindingvpc-resource-controller-rolebindingnome e un nome. Queste risorse supportano il controller di VPC risorse Amazon, che Amazon EKS installa su tutti i cluster.

Oltre alle risorse che vedi nella console, nel cluster esistono le seguenti identità utente speciali, sebbene non siano visibili nella configurazione del cluster:

eks:cluster-bootstrap— Utilizzato per kubectl le operazioni durante il bootstrap del cluster.
eks:support-engineer— Utilizzato per le operazioni di gestione dei cluster.
1. Scegli una risorsa specifica per visualizzarne i dettagli. Per impostazione predefinita, le informazioni vengono mostrate nella visualizzazione strutturata. Nell'angolo superiore destro della pagina dei dettagli puoi scegliere la Raw view (Visualizzazione non elaborata) per vedere tutte le informazioni per la risorsa.

Kubectl

.Prerequisito L'entità che utilizzi (AWS Identity and Access Management () IAM o OpenID Connect (OIDC)) per elencare il Kubernetes le risorse del cluster devono essere autenticate dal IAM o dal OIDC fornitore di identità. All'entità devono essere concesse le autorizzazioni per utilizzare il Kubernetes gete i list verbi perRole, ClusterRoleRoleBinding, e ClusterRoleBinding le risorse del cluster con cui desideri che l'entità lavori. Per ulteriori informazioni su come concedere alle IAM entità l'accesso al cluster, consulta. Concedi a IAM utenti e ruoli l'accesso a Kubernetes APIs Per ulteriori informazioni sulla concessione di entità autenticate dall'utente OIDC accesso da parte del provider al cluster, vedi. Concedi agli utenti l'accesso a Kubernetes con un dispositivo esterno OIDC provider .Per visualizzare le identità EKS create da Amazon utilizzando kubectl Esegui il comando per il tipo di risorsa che desideri visualizzare. Tutte le risorse restituite che hanno come prefisso eks vengono create da AmazonEKS. Oltre alle risorse restituite nell'output dei comandi, nel cluster esistono le seguenti identità utente speciali, sebbene non siano visibili nella configurazione del cluster:

eks:cluster-bootstrap— Utilizzato per kubectl le operazioni durante il bootstrap del cluster.
eks:support-engineer— Utilizzato per le operazioni di gestione dei cluster.

ClusterRoles— ClusterRoles sono limitati al cluster, quindi qualsiasi autorizzazione concessa a un ruolo si applica alle risorse di qualsiasi Kubernetes namespace sul cluster.

Il seguente comando restituisce tutti gli Amazon EKS creati Kubernetes ClusterRolessul tuo cluster.
```
kubectl get clusterroles | grep eks
```
Oltre ai ClusterRoles restituiti nell'output con prefisso, esistono i seguenti ClusterRoles.
aws-node— ClusterRole Supporta il VPC CNI plug-in Amazon VPC CNI Amazon per Kubernetes, che Amazon EKS installa su tutti i cluster.
vpc-resource-controller-role— ClusterRole Supporta il controller di VPC risorse Amazon, che Amazon EKS installa su tutti i cluster.

Per visualizzare le specifiche di a, sostituisci ClusterRole eks:k8s-metrics nel comando seguente con un ClusterRole restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metrics ClusterRole.
```
kubectl describe clusterrole eks:k8s-metrics
```
Di seguito viene riportato un output di esempio:
```
Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
                    [/metrics]         []              [get]
  endpoints         []                 []              [list]
  nodes             []                 []              [list]
  pods              []                 []              [list]
  deployments.apps  []                 []              [list]
```
ClusterRoleBindings— ClusterRoleBindings rientrano nell'ambito del cluster.

Il seguente comando restituisce tutti gli Amazon EKS creati Kubernetes ClusterRoleBindingssul tuo cluster.
```
kubectl get clusterrolebindings | grep eks
```
Oltre ai ClusterRoleBindings restituiti nell'output, esistono i seguenti ClusterRoleBindings.
aws-node— ClusterRoleBinding Supporta il VPC CNI plug-in Amazon VPC CNI Amazon per Kubernetes, che Amazon EKS installa su tutti i cluster.
vpc-resource-controller-rolebinding— ClusterRoleBinding Supporta il controller di VPC risorse Amazon, che Amazon EKS installa su tutti i cluster.

Per visualizzare le specifiche di a, sostituisci ClusterRoleBinding eks:k8s-metrics nel comando seguente con un ClusterRoleBinding restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metrics ClusterRoleBinding.


kubectl describe clusterrolebinding eks:k8s-metrics

+ Un esempio di output è il seguente.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

+ Ruoli: Roles sono limitati a Kubernetes namespace. Tutte le EKS creazioni di Amazon Roles rientrano nell'ambito del kube-system namespace.

+ Il seguente comando restituisce tutti gli Amazon EKS creati Kubernetes Rolessul tuo cluster.


kubectl get roles -n kube-system | grep eks

+ Per vedere le specifiche di aRole, sostituisci eks:k8s-metrics nel comando seguente con il nome di a Role restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metrics Role.


kubectl describe role eks:k8s-metrics -n kube-system

+ Un esempio di output è il seguente.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names             Verbs
  ---------         -----------------  --------------             -----
  daemonsets.apps   []                 [aws-node]                 [get]
  deployments.apps  []                 [vpc-resource-controller]  [get]

+ RoleBindings— RoleBindings sono riconducibili a Kubernetes spazio dei nomi. Tutte le EKS creazioni di Amazon RoleBindings rientrano nell'ambito del kube-system namespace.

+ Il seguente comando restituisce tutti gli Amazon EKS creati Kubernetes RoleBindingssul tuo cluster.


kubectl get rolebindings -n kube-system | grep eks

+ Per vedere le specifiche di aRoleBinding, sostituisci eks:k8s-metrics nel comando seguente con un RoleBinding restituito nell'output del comando precedente. L'esempio seguente restituisce la specifica per eks:k8s-metrics RoleBinding.


kubectl describe rolebinding eks:k8s-metrics -n kube-system

+ Un esempio di output è il seguente.


Name:         eks:k8s-metrics
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  eks:k8s-metrics
Subjects:
  Kind  Name             Namespace
  ----  ----             ---------
  User  eks:k8s-metrics

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Proteggi i carichi di lavoro con Kubernetes certificates

Comprendi le politiche di sicurezza dei pod EKS create da Amazon (PSP)