为 EKS 访问条目设置自定义用户名 - Amazon EKS
概览默认用户名生成设置自定义用户名

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

为 EKS 访问条目设置自定义用户名

在为 Amazon EKS 创建访问条目时,可以使用自动生成的用户名,也可以指定自定义用户名。本页介绍这两个选项,并将指导您设置自定义用户名。

概览

访问条目中的用户名用于识别 Kubernetes 日志和审计跟踪记录中的 IAM 主体。默认情况下,Amazon EKS 会根据 IAM 身份的 ARN 生成用户名,但您可以根据需要指定自定义用户名。

默认用户名生成

如果不指定用户名的值,Amazon EKS 会根据 IAM 身份自动生成用户名:

  • 对于 IAM 用户

    • EKS 会将 Kubernetes 用户名设置为 IAM 用户的 ARN

    • 示例:

      {arn-aws}iam::<111122223333>:user/<my-user>

  • 对于 IAM 角色

    • EKS 会根据 IAM 角色的 ARN 设置 Kubernetes 用户名

    • 分派角色时此角色的 STS ARN。Amazon EKS 会将 {{SessionName}} 附加到该角色中。如果您指定的角色的 ARN 包含路径,Amazon EKS 会在生成的用户名中将其移除。

    • 示例:

      {arn-aws}sts::<111122223333>:assumed-role/<my-role>/{{SessionName}}

除非您出于特定原因要指定自己的用户名,否则我们建议您不要指定用户名,而是让 Amazon EKS 为您自动生成用户名。

设置自定义用户名

创建访问条目时,可以使用 --username 参数指定自定义用户名:

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --username <custom-username>

自定义用户名的要求

如果指定自定义用户名:

  • 用户名不能以 system:eks:aws:amazon:iam: 开头。

  • 如果该用户名用于 IAM 角色,我们建议您在用户名的末尾添加 {{SessionName}}{{SessionNameRaw}}

    • 如果您在用户名中添加 {{SessionName}}{{SessionNameRaw}},则该用户名必须在 {{SessionName}} 之前加一个冒号。