協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
想要為此使用者指南做出貢獻? 選擇 GitHub 上的編輯此頁面連結,該連結位於每個頁面的右窗格中。您的貢獻將幫助我們的使用者指南更適合每個人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解存取控制如何在 Amazon EKS 中運作
了解如何管理對 Amazon EKS 叢集的存取。使用 Amazon EKS 需要了解 Kubernetes和 AWS Identity and Access Management (AWS IAM) 如何處理存取控制。
本節包括:
授予 IAM 使用者和角色對 Kubernetes APIs存取權 — 了解如何讓應用程式或使用者對 Kubernetes API 進行身分驗證。您可以使用存取項目、aws-auth ConfigMap 或外部 OIDC 供應商。
在 中檢視 Kubernetes 資源 AWS Management Console:了解如何設定 AWS Management Console 以與您的 Amazon EKS 叢集通訊。使用 主控台檢視叢集中的Kubernetes資源,例如命名空間、節點和 Pods。
透過建立 kubeconfig 檔案將 kubectl 連接至 EKS 叢集 — 了解如何設定 kubectl 以與您的 Amazon EKS 叢集通訊。使用 AWS CLI 建立 kubeconfig 檔案。
AWS 使用 Kubernetes 服務帳戶授予 Kubernetes 工作負載存取權:了解如何將Kubernetes服務帳戶與 IAM AWS 角色建立關聯。您可以使用 Pod Identity 或 IAM Roles for Service Account (IRSA)。
常見任務
-
授予開發人員 Kubernetes API 的存取權。檢視 中的Kubernetes資源 AWS Management Console。
-
解決方案:使用存取項目將 Kubernetes RBAC 許可與 IAM AWS 使用者或角色建立關聯。
-
-
設定 kubectl 以使用 AWS 登入資料與 Amazon EKS 叢集通訊。
-
解決方案:使用 AWS CLI 建立 kubeconfig 檔案。
-
-
使用 Ping Identity 等外部身分提供者來驗證 Kubernetes API 的使用者。
-
解決方案:連結外部 OIDC 供應商。
-
-
授予Kubernetes叢集上的工作負載呼叫 AWS APIs的能力。
-
解決方案:使用 Pod Identity 將 IAM AWS 角色與服務Kubernetes帳戶建立關聯。
-
背景介紹
-
如需管理 AWS 資源存取權的詳細資訊,請參閱 AWS IAM 使用者指南。或者,使用 IAM AWS 參加免費的入門訓練
。
EKS Auto 模式的考量事項
EKS Auto Mode 與 EKS Pod Identity 和 EKS EKS 存取項目整合。
-
EKS Auto Mode 使用存取項目來授予 EKS 控制平面 Kubernetes 許可。例如,存取政策可讓 EKS Auto Mode 讀取網路端點和服務的相關資訊。
-
您無法在 EKS Auto Mode 叢集上停用存取項目。
-
您可以選擇性地啟用
aws-authConfigMap。 -
EKS Auto Mode 的存取項目會自動設定。您可以檢視這些存取項目,但無法修改。
-
如果您使用 NodeClass 建立自訂節點 IAM 角色,則需要使用 AmazonEKSAutoNodePolicy 存取政策為角色建立存取項目。
-
-
如果您想要授予 AWS 服務的工作負載許可,請使用 EKS Pod Identity。
-
您不需要在 EKS Auto Mode 叢集上安裝 Pod Identity 代理程式。
-
