Criar uma entrada de acesso usando grupos do Kubernetes com a AWS CLI - Amazon EKS
Visão geralPré-requisitosEtapa 1: definir a entrada de acessoEtapa 2: criar uma entrada de acesso para grupos do KubernetesEtapa 3: configurar recursos do RBACPróximas etapas

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Criar uma entrada de acesso usando grupos do Kubernetes com a AWS CLI

Crie entradas de acesso do Amazon EKS que usam grupos do Kubernetes para fins de autorização e exigem a configuração manual do RBAC.

nota

Para a maioria dos casos de uso, recomendamos usar as políticas de acesso do EKS em vez da abordagem de grupos do Kubernetes descrita nesta página. As políticas de acesso do EKS fornecem uma maneira mais simples e integrada com a AWS para gerenciar o acesso sem exigir a configuração manual do RBAC. Use a abordagem de grupos do Kubernetes somente quando precisar de um controle mais granular do que o oferecido pelas políticas de acesso do EKS.

Visão geral

As entradas de acesso definem como as identidades do IAM (usuários e perfis) acessam seus clusters do Kubernetes. A abordagem de grupos do Kubernetes concede aos usuários ou perfis do IAM permissão para acessar seu cluster EKS por meio de grupos RBAC padrão do Kubernetes. Esse método requer a criação e o gerenciamento de recursos RBAC do Kubernetes (Roles, RoleBindings, ClusterRoles e ClusterRoleBindings) e é recomendado quando você precisa de conjuntos de permissões altamente personalizados, requisitos de autorização complexos ou deseja manter padrões de controle de acesso consistentes em ambientes híbridos do Kubernetes.

Este tópico não aborda a criação de entradas de acesso para identidades do IAM usadas para instâncias do Amazon EC2 para integrar clusters do EKS.

Pré-requisitos

Etapa 1: definir a entrada de acesso

  1. Encontre o ARN da identidade do IAM, como um usuário ou um perfil, ao qual você deseja conceder permissões.

    • Cada identidade do IAM pode ter somente uma entrada de acesso ao EKS.

  2. Determine quais grupos do Kubernetes você deseja associar a essa identidade do IAM.

    • Você precisará criar ou usar os recursos do Kubernetes existentes Role/ClusterRole e RoleBinding/ClusterRoleBinding que façam referência a esses grupos.

  3. Determine se o nome de usuário gerado automaticamente é apropriado para a entrada de acesso ou se você precisa especificar manualmente um nome de usuário.

Etapa 2: criar uma entrada de acesso para grupos do Kubernetes

Depois de planejar a entrada de acesso, use a AWS CLI para criá-la com os grupos apropriados do Kubernetes.

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

Substitua:

  • <cluster-name> com o nome do seu cluster do EKS

  • <iam-identity-arn> com o ARN do perfil ou usuário do IAM

  • <groups> com uma lista separada por vírgulas de grupos do Kubernetes (por exemplo, "system:developers,system:readers")

Veja a referência da CLI para todas as opções de configuração.

Etapa 3: configurar recursos do RBAC

Para que a entidade principal do IAM tenha acesso aos objetos do Kubernetes em seu cluster, você deve criar e gerenciar objetos de controle de acesso com base em perfil (RBAC) do Kubernetes:

  1. Crie objetos Role ou ClusterRole do Kubernetes que definam as permissões.

  2. Crie objetos RoleBinding ou ClusterRoleBinding do Kubernetes no cluster que especifiquem o nome do grupo como um subject para kind: Group.

Para obter informações detalhadas sobre como configurar grupos e permissões no Kubernetes, consulte Como usar a autorização RBAC na documentação do Kubernetes.

Próximas etapas