允许用户访问您的集群
有两种类型的身份可以访问您的 Amazon EKS 集群:
-
AWS Identity and Access Management(IAM)主体(角色或用户)– 此类型需要对 IAM 进行身份验证。用户可以使用通过身份源提供的凭证以 IAM 用户或联合身份
登录到 AWS。如果您的管理员以前使用 IAM 角色设置了身份联合验证,则用户只能使用联合身份登录。当用户使用联合身份验证访问 AWS 时,他们就是在间接分派角色。当用户使用此类身份时,您: -
可以为他们分配 Kubernetes 权限,以便其使用集群上的 Kubernetes 对象。有关如何为您的 IAM 主体分配权限以便他们能够访问集群上的 Kubernetes 对象的更多信息,请参阅 允许 IAM 角色或用户访问您的 Amazon EKS 集群上的 Kubernetes 对象。
可以为他们分配 IAM 权限,以便其使用 Amazon EKS API、AWS CLI、AWS CloudFormation、AWS Management Console 或
eksctl
使用您的 Amazon EKS 集群及其资源。有关更多信息,请参阅《服务授权参考》中的 Amazon Elastic Kubernetes Service 定义的操作。
节点通过分派 IAM 角色加入您的集群。使用 IAM 主体访问集群的能力由适用于 Kubernetes 的 AWS IAM 身份验证器
提供,该工具在 Amazon EKS 控制面板上运行。 -
-
您自己的 OpenID Connect(OIDC)提供者中的用户 – 此类型需要对您的 OIDC
提供者进行身份验证。有关使用 Amazon EKS 集群设置自己的 OIDC 提供者的更多信息,请参阅 通过 OpenID Connect 身份提供商对集群的用户进行身份验证。当用户使用此类身份时,您: 可以为他们分配 Kubernetes 权限,以便其使用集群上的 Kubernetes 对象。
无法向他们分配 IAM 权限,使他们能够使用 Amazon EKS API、AWS CLI、AWS CloudFormation、AWS Management Console、或
eksctl
使用您的 Amazon EKS 集群及其资源。
您可以在集群中使用这两种类型的身份。用户需要配置其 kubectl config
文件才能访问集群上的 Kubernetes 对象。要为 IAM 身份配置 kube config
文件,请参阅 为 Amazon EKS 集群创建或更新 kubeconfig 文件。要配置 kube config
文件以用于来自 OIDC 提供者的身份,请参阅 Kubernetes 文档中的使用 kubectl