Definir um nome de usuário personalizado para entradas de acesso ao EKS - Amazon EKS
Visão geralGeração de nome de usuário padrãoConfiguração de um nome de usuário personalizado

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Definir um nome de usuário personalizado para entradas de acesso ao EKS

Ao criar entradas de acesso para o Amazon EKS, é possível usar o nome de usuário gerado automaticamente ou especificar um personalizado. Esta página explica as duas alternativas e orienta sobre a configuração de um nome de usuário personalizado.

Visão geral

O nome de usuário em uma entrada de acesso é usado para identificar a entidade principal do IAM em logs e trilhas de auditoria do Kubernetes. Por padrão, o Amazon EKS gera um nome de usuário com base no ARN da identidade do IAM, mas também é possível especificar um nome de usuário personalizado, se necessário.

Geração de nome de usuário padrão

Se você não especificar um valor como nome de usuário, o Amazon EKS definirá um de maneira automática com base na identidade do IAM:

  • Para usuários do IAM:

    • O EKS define o nome de usuário do Kubernetes como o ARN do usuário do IAM

    • Exemplo:

      {arn-aws}iam::<111122223333>:user/<my-user>

  • Para perfis do IAM:

    • O EKS define o nome de usuário do Kubernetes como o ARN do perfil do IAM

    • O STS ARN do perfil quando ele é assumido. O Amazon EKS anexa {{SessionName}} ao perfil. Se o ARN do perfil que você especificou contiver um caminho, o Amazon EKS o removerá no nome de usuário gerado.

    • Exemplo:

      {arn-aws}sts::<111122223333>:assumed-role/<my-role>/{{SessionName}}

A menos que você tenha um motivo específico para determinar seu próprio nome de usuário, recomendamos que não especifique um e deixe o Amazon EKS gerá-lo automaticamente.

Configuração de um nome de usuário personalizado

Ao criar uma entrada de acesso, você pode especificar um nome de usuário personalizado usando o parâmetro --username:

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --username <custom-username>

Requisitos para nomes de usuário personalizados

Se você especificar um nome de usuário personalizado:

  • O nome de usuário não pode começar com system:, eks:, aws:, amazon:, ou iam:.

  • Se o nome de usuário for para um perfil do IAM, recomendamos que você adicione {{SessionName}} ou {{SessionNameRaw}} ao final do seu nome de usuário.

    • Se você adicionar {{SessionName}} ou {{SessionNameRaw}} ao seu nome de usuário, ele deverá incluir dois pontos antes de {{SessionName}}.