允许用户访问您的集群

有两种类型的身份可以访问您的 Amazon EKS 集群：

• AWS Identity and Access Management（IAM）主体（角色或用户）– 此类型需要对 IAM 进行身份验证。用户可以使用通过身份源提供的凭证以 IAM 用户或联合身份登录到 AWS。如果您的管理员以前使用 IAM 角色设置了身份联合验证，则用户只能使用联合身份登录。当用户使用联合身份验证访问 AWS 时，他们就是在间接分派角色。当用户使用此类身份时，您：

  • 可以为他们分配 Kubernetes 权限，以便其使用集群上的 Kubernetes 对象。有关如何为您的 IAM 主体分配权限以便他们能够访问集群上的 Kubernetes 对象的更多信息，请参阅 允许 IAM 角色或用户访问您的 Amazon EKS 集群上的 Kubernetes 对象。

  • 可以为他们分配 IAM 权限，以便其使用 Amazon EKS API、AWS CLI、AWS CloudFormation、AWS Management Console 或 eksctl 使用您的 Amazon EKS 集群及其资源。有关更多信息，请参阅《服务授权参考》中的 Amazon Elastic Kubernetes Service 定义的操作。

  节点通过分派 IAM 角色加入您的集群。使用 IAM 主体访问集群的能力由适用于 Kubernetes 的 AWS IAM 身份验证器提供，该工具在 Amazon EKS 控制面板上运行。

• 您自己的 OpenID Connect（OIDC）提供者中的用户 – 此类型需要对您的 OIDC 提供者进行身份验证。有关使用 Amazon EKS 集群设置自己的 OIDC 提供者的更多信息，请参阅 通过 OpenID Connect 身份提供商对集群的用户进行身份验证。当用户使用此类身份时，您：

  • 可以为他们分配 Kubernetes 权限，以便其使用集群上的 Kubernetes 对象。

  • 无法向他们分配 IAM 权限，使他们能够使用 Amazon EKS API、AWS CLI、AWS CloudFormation、AWS Management Console、或 eksctl 使用您的 Amazon EKS 集群及其资源。

您可以在集群中使用这两种类型的身份。用户需要配置其 kubectl config 文件才能访问集群上的 Kubernetes 对象。要为 IAM 身份配置 kube config 文件，请参阅 为 Amazon EKS 集群创建或更新 kubeconfig 文件。要配置 kube config 文件以用于来自 OIDC 提供者的身份，请参阅 Kubernetes 文档中的使用 kubectl。