Alterar o modo de autenticação Criação de entradas de acesso Atualização de entradas de acesso Exclusão de entradas de acesso

Gerenciar entradas de acesso

Pré-requisitos

Familiaridade com as opções de acesso ao cluster do Amazon EKS. Para ter mais informações, consulte Conceder acesso a APIs do Kubernetes.

Um cluster existente do Amazon EKS. Para implantar, consulte Conceitos básicos do Amazon EKS. Para usar entradas de acesso e mudar o modo de autenticação de um cluster, o cluster deve ter uma versão da plataforma igual ou posterior à versão listada na tabela a seguir ou uma versão do Kubernetes posterior às versões listadas na tabela.

Versão do Kubernetes	Versão da plataforma
`1.30`	`eks.2`
`1.29`	`eks.1`
`1.28`	`eks.6`
`1.27`	`eks.10`
`1.26`	`eks.11`
`1.25`	`eks.12`
`1.24`	`eks.15`
`1.23`	`eks.17`

É possível verificar a versão atual do Kubernetes e da plataforma ao substituir my-cluster no comando a seguir pelo nome do seu cluster e executar o comando modificado: aws eks describe-cluster --name my-cluster --query 'cluster.{"Kubernetes Version": version, "Platform Version": platformVersion}'.

Importante

Depois que o Amazon EKS atualiza o cluster para a versão da plataforma listada na tabela, ele cria uma entrada de acesso com permissões de administrador ao cluster para a entidade principal do IAM que originalmente criou o cluster. Se não quiser que a entidade principal do IAM tenha permissões de administrador para o cluster, remova a entrada de acesso criada pelo Amazon EKS.

Para clusters com versões da plataforma anteriores às listadas na tabela anterior, o criador do cluster é sempre um administrador do cluster. Não é possível remover as permissões de administrador do cluster do usuário do IAM ou do perfil que criou o cluster.

Uma entidade principal do IAM com as seguintes permissões para o cluster: CreateAccessEntry, ListAccessEntries, DescribeAccessEntry, DeleteAccessEntry e UpdateAccessEntry. Para obter mais informações sobre as permissões do Amazon EKS, consulte Ações definidas pelo Amazon Elastic Kubernetes Service na Referência de autorização do serviço.
Uma entidade principal do IAM existente para criar uma entrada de acesso ou uma entrada de acesso existente para atualizar ou excluir.

Configuração de entradas de acesso

Para começar a usar entradas de acesso, você deve alterar o modo de autenticação do cluster para os modos API_AND_CONFIG_MAP ou API. Essa ação adiciona a API para entradas de acesso.

AWS Management Console

Para criar uma entrada de acesso

Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.
Escolha o nome do cluster em que você deseja criar uma entrada de acesso.
Escolha a guia Acesso.
O Modo de autenticação mostra o modo de autenticação atual do cluster. Se o modo indicar EKS API, já será possível adicionar entradas de acesso e pular as etapas restantes.
Selecione Gerenciar acesso.
Para o Modo de autenticação de cluster, selecione um modo com a EKS API. Observe que você não pode alterar o modo de autenticação de volta para um modo que remova as entradas da EKS API e de acesso.
Escolha Salvar alterações. O Amazon EKS começa a atualizar o cluster, o status do cluster muda para Updating e a alteração é registrada na guia Histórico de atualizações.
Aguarde até que o status do cluster retorne para Active. Quando o cluster estiver Active, será possível seguir as etapas em Criação de entradas de acesso para adicionar acesso ao cluster para entidades principais do IAM.

AWS CLI

Pré-requisito

A versão mais recente da AWS CLI v1 instalada e configurada em seu dispositivo ou AWS CloudShell. atributo AWS CLI v2 não oferece suporte a novos recursos por alguns dias. É possível verificar sua versão atual com aws --version | cut -d / -f2 | cut -d ' ' -f1. Gerenciadores de pacotes, como yum, apt-get ou Homebrew para macOS, geralmente estão várias versões atrás da versão mais recente da AWS CLI. Para instalar a versão mais recente, consulte Instalar, atualizar e desinstalar a AWS CLI e Configuração rápida com o aws configure no Guia do usuário da AWS Command Line Interface. A versão da AWS CLI instalada no AWS CloudShell também pode estar várias versões atrás da versão mais recente. Para atualizá-la, consulte Instalar a AWS CLI no diretório base no Guia do usuário do AWS CloudShell.

Execute o seguinte comando . Substitua my-cluster pelo nome do cluster. Se você quiser desativar o método ConfigMap permanentemente, substitua API_AND_CONFIG_MAP por API.

O Amazon EKS começa a atualizar o cluster, o status do cluster muda para UPDATING e a alteração é registrada em aws eks list-updates.
```
aws eks update-cluster-config --name my-cluster --access-config authenticationMode=API_AND_CONFIG_MAP
```
Aguarde até que o status do cluster retorne para Active. Quando o cluster estiver Active, será possível seguir as etapas em Criação de entradas de acesso para adicionar acesso ao cluster para entidades principais do IAM.

Criação de entradas de acesso

Considerações

Antes de criar entradas de acesso, considere o seguinte:

Uma entrada de acesso inclui o nome do recurso da Amazon (ARN) de uma, e somente uma, entidade principal do IAM existente. Uma entidade principal do IAM não pode ser incluída em mais de uma entrada de acesso. Considerações adicionais para o ARN especificado por você:
- As práticas recomendadas do IAM sugerem que você acesse o cluster usando perfis do IAM que têm credenciais de curto prazo, em vez de usuários do IAM que têm credenciais de longo prazo. Para obter mais informações, consulte Exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias no Guia do usuário do IAM.
- Se o ARN for para um perfil do IAM, ele pode incluir um caminho. Os ARNs nas entradas ConfigMap aws-auth não podem incluir um caminho. Por exemplo, seu ARN pode ser arn:aws:iam::111122223333:role/development/apps/my-role ou arn:aws:iam::111122223333:role/my-role.
- Se o tipo da entrada de acesso for diferente de STANDARD (consulte a próxima consideração sobre os tipos), o ARN deverá estar na mesma Conta da AWS em que seu cluster está. Se o tipo for STANDARD, o ARN poderá estar na mesma Conta da AWS, ou outra diferente, da conta em que seu cluster está.
- Não é possível alterar a entidade principal do IAM depois que a entrada de acesso é criada.
- Se você alguma vez você excluir a entidade principal do IAM com esse ARN, a entrada de acesso não será excluída automaticamente. Recomendamos que você exclua a entrada de acesso com um ARN para uma entidade principal do IAM que você exclua. Se você não excluir a entrada de acesso e nunca recriar a entidade principal do IAM, mesmo que ela tenha o mesmo ARN, a entrada de acesso não funcionará. Isto ocorre porque, embora o ARN seja o mesmo para a entidade principal do IAM recriado, o roleID ou userID (você pode ver isso com o comando aws sts get-caller-identity da AWS CLI) é diferente para a entidade principal do IAM recriada do que foi para a entidade principal do IAM original. Mesmo que você não veja o roleID ou userID da entidade principal do IAM para uma entrada de acesso, o Amazon EKS o armazena com a entrada de acesso.
Cada entrada de acesso tem um tipo. Você pode especificar EC2 Linux (para um perfil do IAM usado com nós autogerenciados do Linux ou do Bottlerocket), EC2 Windows (para perfis do IAM usados com nós autogerenciados do Windows), FARGATE_LINUX (para perfis do IAM usados com AWS Fargate (Fargate)) ou STANDARD como um tipo. Se você não especificar um tipo, o Amazon EKS definirá automaticamente o tipo como STANDARD. Não é necessário criar uma entrada de acesso para um perfil do IAM usado para um grupo de nós gerenciados ou um perfil do Fargate, porque o Amazon EKS adiciona entradas para essas funções ao ConfigMap aws-auth, independentemente da versão da plataforma em que seu cluster esteja.

Não é possível alterar o tipo depois que a entrada de acesso é criada.

Se o tipo da entrada de acesso for STANDARD, será possível especificar um nome de usuário para a entrada de acesso. Se você não especificar um valor para o nome de usuário, o Amazon EKS definirá um dos valores a seguir para você, dependendo do tipo de entrada de acesso e de se a entidade principal do IAM que você especificou é um perfil do IAM ou um usuário do IAM. A menos que você tenha um motivo específico para determinar seu próprio nome de usuário, recomendamos que não especifique um e deixe o Amazon EKS gerá-lo automaticamente para você. Se você especificar seu próprio nome de usuário:

Não pode começar com system:, eks:, aws:, amazon: ouiam:.
Se o nome de usuário for para um perfil do IAM, recomendamos que você adicione {{SessionName}} ao final do seu nome de usuário. Se você adicionar {{SessionName}} ao seu nome de usuário, ele deverá incluir dois pontos antes de {{SessionName}}. Quando essa função é assumida, o nome da sessão especificado ao assumir a função é automaticamente passado para o cluster e aparecerá nos logs do CloudTrail. Por exemplo, não é possível ter um nome de usuário john{{SessionName}}. O nome de usuário teria que ser :john{{SessionName}} ou jo:hn{{SessionName}}. Os dois pontos precisam vir antes de {{SessionName}}. O nome de usuário gerado pelo Amazon EKS na tabela a seguir inclui um ARN. Como um ARN inclui dois pontos, ele atende a esse requisito. Os dois pontos não serão necessários se você não incluir {{SessionName}} no seu nome de usuário.

Tipo de entidade principal do IAM	Tipo	Valor do nome de usuário que o Amazon EKS define automaticamente
Usuário	`STANDARD`	O ARN do usuário. Exemplo: `arn:aws:iam::111122223333:user/my-user`
Função	`STANDARD`	O STS ARN da função quando ela é assumida. O Amazon EKS anexa `{{SessionName}}` à função. Exemplo: `arn:aws:sts::111122223333:assumed-role/my-role/{{SessionName}}` Se o ARN da função que você especificou contiver um caminho, o Amazon EKS o removerá no nome de usuário gerado.
Função	`EC2 Linux` ou `EC2 Windows`	`system:node:{{EC2PrivateDNSName}}`
Função	`FARGATE_LINUX`	`system:node:{{SessionName}}`

Você poderá alterar o nome de usuário depois que a entrada de acesso for criada.

Se o tipo de entrada de acesso for STANDARD e você quiser usar a autorização RBAC do Kubernetes, poderá adicionar um ou mais nomes de grupos à entrada de acesso. Depois de criar uma entrada de acesso, você pode adicionar e remover nomes de grupos. Para que a entidade principal do IAM tenha acesso aos objetos do Kubernetes em seu cluster, você deve criar e gerenciar objetos de autorização baseada em funções (RBAC) do Kubernetes. Crie objetos RoleBinding ou ClusterRoleBinding do Kubernetes em seu cluster que especifiquem o nome do grupo como um subject para kind: Group. O Kubernetes autoriza o acesso da entidade principal do IAM a qualquer objeto de cluster que você especificou em um objeto Role ClusterRole do Kubernetes que você também especificou no roleRef da vinculação. Se você especificar nomes de grupo, convém familiarizar-se com os objetos de autorização com base em função (RBAC) do Kubernetes. Para mais informações, consulte Using RBAC Authorization (Usar autorização RBAC) na documentação do Kubernetes.

Importante
O Amazon EKS não confirma que nenhum objeto RBAC do Kubernetes existente no seu cluster inclua nenhum dos nomes de grupos que você especificar.

Em vez de, ou além de, o Kubernetes autorizar o acesso da entidade principal do IAM aos objetos do Kubernetes em seu cluster, você pode associar as políticas de acesso do Amazon EKS a uma entrada de acesso. O Amazon EKS autoriza as entidades principais do IAM a acessar objetos do Kubernetes em seu cluster com as permissões na política de acesso. Você pode definir o escopo das permissões de uma política de acesso aos namespaces do Kubernetes que você especificar. O uso de políticas de acesso não exige que você gerencie objetos RBAC do Kubernetes. Para ter mais informações, consulte Como associar e desassociar políticas de acesso em entradas de acesso.
Se você criar uma entrada de acesso com o tipo EC2 Linux ou EC2 Windows, a entidade principal do IAM que criou a entrada de acesso deverá ter a permissão iam:PassRole. Para obter mais informações, consulte Conceder permissões a um usuário para passar uma função para um AWS service (Serviço da AWS) no Guia do usuário do IAM.
Semelhante ao comportamento padrão do IAM, a criação e as atualizações de entradas de acesso acabam sendo consistentes e podem levar alguns segundos para serem efetivadas após o retorno bem-sucedido da chamada inicial de API. Suas aplicações devem ser projetadas para levar em conta esses possíveis atrasos. Recomendamos que você não inclua criações ou atualizações de entrada de acesso nos caminhos de código críticos de alta disponibilidade da sua aplicação. Em vez disso, faça alterações do em uma rotina de inicialização ou de configuração separada que você executa com menos frequência. Além disso, certifique-se de verificar se as alterações foram propagadas antes que os fluxos de trabalho de produção dependam delas.
As entradas de acesso não oferecem suporte para perfis vinculados ao serviço. Não é possível criar entradas de acesso nas quais o ARN da entidade principal corresponde a um perfil vinculado ao serviço. É possível identificar perfis vinculados ao serviço pelo ARN deles, que está no formato arn:aws:iam::*:role/aws-service-role/*.

Você pode criar uma entrada de acesso usando o AWS Management Console ou a AWS CLI.

AWS Management Console

Para criar uma entrada de acesso

Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.
Escolha o nome do cluster em que você deseja criar uma entrada de acesso.
Escolha a guia Acesso.
Selecione Criar entrada de acesso.
Para a entidade principal do IAM, selecione um perfil ou usuário do IAM existente. As práticas recomendadas do IAM sugerem que você acesse o cluster usando perfis do IAM que têm credenciais de curto prazo, em vez de usuários do IAM que têm credenciais de longo prazo. Para obter mais informações, consulte Exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias no Guia do usuário do IAM.
Em Tipo, se a entrada de acesso for para a função de nó usada para nós autogerenciados do Amazon EC2, selecione EC2 Linux ou EC2 Windows. Caso contrário, aceite o padrão (Padrão).
Se o Tipo escolhido for Padrão e você quiser especificar um nome de usuário, insira o nome de usuário.
Se o Tipo escolhido for Padrão e você quiser usar a autorização RBAC do Kubernetes para a entidade principal do IAM, especifique um ou mais nomes para Grupos. Se você não especificar nenhum nome de grupo e quiser usar a autorização do Amazon EKS, poderá associar uma política de acesso em uma etapa posterior ou após a criação da entrada de acesso.
(Opcional) Para Tags, atribua rótulos à entrada de acesso. Por exemplo, para facilitar a localização de todos os recursos com a mesma tag.
Escolha Próximo.
Na página Adicionar política de acesso, se o tipo escolhido for Padrão e você quiser que o Amazon EKS autorize a entidade principal do IAM a ter permissões para os objetos do Kubernetes em seu cluster, execute as etapas a seguir. Caso contrário, escolha Next.
1. Em Nome da política, escolha uma política de acesso. Você não pode ver as permissões das políticas de acesso, mas elas incluem permissões semelhantes às dos objetos ClusterRole voltados para o usuário do Kubernetes. Para obter mais informações, consulte User-facing roles na documentação do Kubernetes.
2. Escolha uma das seguintes opções:
  - Cluster: escolha essa opção se quiser que o Amazon EKS autorize a entidade principal do IAM a ter as permissões na política de acesso para todos os objetos do Kubernetes em seu cluster.
  - Namespace do Kubernetes: escolha essa opção se quiser que o Amazon EKS autorize a entidade principal do IAM a ter as permissões na política de acesso para todos os objetos do Kubernetes em um namespace do Kubernetes específico em seu cluster. Em Namespace, insira o nome do namespace do Kubernetes no seu cluster. Se quiser adicionar mais namespaces, escolha Adicionar novo namespace e insira o nome do namespace.
3. Se você quiser adicionar mais políticas, escolha Adicionar política. Você pode definir o escopo de cada política de forma diferente, mas cada política só pode ser adicionada uma vez.
4. Escolha Próximo.
Revise a configuração da entrada de acesso. Se algo parecer errado, escolha Anterior para voltar às etapas anteriores e corrigir o erro. Se a configuração estiver correta, escolha Criar.

AWS CLI

Pré-requisito

Para criar uma entrada de acesso

Você pode usar qualquer um dos seguintes exemplos para criar entradas de acesso:

Crie uma entrada de acesso para um grupo de nós autogerenciado do Amazon EC2 Linux. Substitua my-cluster pelo nome do seu cluster, 111122223333 pelo seu ID da Conta da AWS e EKS-my-cluster-self-managed-ng-1 pelo nome do seu nó do perfil do IAM. Se seu grupo de nós for um grupo de nós do Windows, substitua EC2_Linux por EC2_Windows.
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-self-managed-ng-1 --type EC2_Linux
```
Você não pode usar a opção --kubernetes-groups ao especificar um tipo diferente de STANDARD. Você não pode associar uma política de acesso a essa entrada de acesso porque seu tipo é um valor diferente de STANDARD.
Crie uma entrada de acesso que permita um perfil do IAM que não é usado para um grupo de nós autogerenciado do Amazon EC2, com o qual você deseja que o Kubernetes autorize o acesso ao seu cluster. Substitua my-cluster pelo nome do cluster e 111122223333 pelo seu ID da Conta da AWS e my-role pelo nome do seu perfil do IAM. Substitua Espectadores pelo nome de um grupo que você especificou em um objeto RoleBinding ou ClusterRoleBinding do Kubernetes em seu cluster.
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role --type STANDARD --user Viewers --kubernetes-groups Viewers
```
Crie uma entrada de acesso que permita que um usuário do IAM se autentique no seu cluster. Esse exemplo é fornecido porque isso é possível, embora as práticas recomendadas do IAM sugiram acessar seu cluster usando perfis do IAM que têm credenciais de curto prazo, em vez de usuários do IAM que têm credenciais de longo prazo. Para obter mais informações, consulte Exija que os usuários humanos usem a federação com um provedor de identidades para acessar a AWS usando credenciais temporárias no Guia do usuário do IAM.
```
aws eks create-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:user/my-user --type STANDARD --username my-user
```
Se quiser que esse usuário tenha mais acesso ao seu cluster do que as permissões nas funções de descoberta da API do Kubernetes, você precisará associar uma política de acesso à entrada de acesso, já que a opção --kubernetes-groups não é usada. Para obter mais informações, consulte Como associar e desassociar políticas de acesso em entradas de acesso e API discovery roles na documentação do Kubernetes.

Atualização de entradas de acesso

Você pode atualizar uma entrada de acesso usando o AWS Management Console ou a AWS CLI.

AWS Management Console

Para atualizar uma entrada de acesso

Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.
Escolha o nome do cluster em que você deseja criar uma entrada de acesso.
Escolha a guia Acesso.
Selecione a entrada de acesso que você deseja atualizar.
Selecione a opção Editar.
Em Nome de usuário, você pode alterar o valor existente.
Em Grupos, você pode remover nomes de grupos existentes ou adicionar novos nomes de grupos. Se os seguintes nomes de grupos existirem, não os remova: system:nodes ou system:bootstrappers. A remoção desses grupos pode fazer com que seu cluster funcione incorretamente. Se você não especificar nenhum nome de grupo e quiser usar a autorização do Amazon EKS, associe uma política de acesso em uma etapa posterior.
Em Tags, você pode atribuir rótulos à entrada de acesso. Por exemplo, para facilitar a localização de todos os recursos com a mesma tag. Você também pode remover as tags existentes.
Escolha Salvar alterações.
Se você quiser associar uma política de acesso à entrada, consulte Como associar e desassociar políticas de acesso em entradas de acesso.

AWS CLI

Pré-requisito

A versão 2.12.3 ou superior ou a versão 1.27.160 ou superior da AWS Command Line Interface (AWS CLI) instalada e configurada em seu dispositivo ou no AWS CloudShell. Para verificar sua versão atual, use aws --version | cut -d / -f2 | cut -d ' ' -f1. Gerenciadores de pacotes, como yum, apt-get ou Homebrew para macOS, geralmente estão várias versões atrás da versão mais recente da AWS CLI. Para instalar a versão mais recente, consulte Instalar, atualizar e desinstalar a AWS CLI e Configuração rápida com o aws configure no Guia do usuário da AWS Command Line Interface. A versão da AWS CLI instalada no AWS CloudShell também pode estar várias versões atrás da versão mais recente. Para atualizá-la, consulte Instalar a AWS CLI no diretório inicial no Guia do usuário do AWS CloudShell.

Para atualizar uma entrada de acesso

Substitua my-cluster pelo nome do seu cluster, 111122223333 pelo seu ID da Conta da AWS e EKS-my-cluster-my-namespace-Viewers pelo nome de um perfil do IAM.


aws eks update-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/EKS-my-cluster-my-namespace-Viewers --kubernetes-groups Viewers

Você não poderá usar a opção --kubernetes-groups se o tipo da entrada de acesso for um valor diferente de STANDARD. Você também não pode associar uma política de acesso a uma entrada de acesso com um tipo diferente de STANDARD.

Exclusão de entradas de acesso

Se você descobrir que excluiu uma entrada de acesso por engano, sempre poderá recriá-la. Se a entrada de acesso que você está excluindo estiver associada a alguma política de acesso, as associações serão excluídas automaticamente. Você não precisa desassociar as políticas de acesso de uma entrada de acesso antes de excluir a entrada de acesso.

É possível excluir uma entrada de acesso usando o AWS Management Console ou a AWS CLI.

AWS Management Console

Para excluir uma chave de acesso

Abra o console do Amazon EKS em https://console.aws.amazon.com/eks/home#/clusters.
Escolha o nome do cluster do qual você deseja excluir uma entrada de acesso.
Escolha a guia Acesso.
Na lista Entradas de acesso, escolha a entrada de acesso que você deseja excluir.
Escolha Delete.
Na caixa de diálogo de confirmação, escolha Excluir.

AWS CLI

Pré-requisito

Para excluir uma chave de acesso

Substitua my-cluster pelo nome do seu cluster, 111122223333 pelo seu ID da Conta da AWS e my-role pelo nome do perfil do IAM que você não quer mais que tenha acesso ao seu cluster.


aws eks delete-access-entry --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conceder acesso a APIs do Kubernetes

Associar políticas de acesso