使用存取政策和 CLI 為 IAM AWS 角色或使用者建立存取項目

建立使用 AWS受管 EKS 存取政策的 Amazon EKS 存取項目，以授予 IAM 身分標準化許可來存取和管理 Kubernetes 叢集。

概觀

Amazon EKS 中的存取項目會定義 IAM 身分 （使用者和角色） 如何存取您的 Kubernetes 叢集並與之互動。透過使用 EKS 存取政策建立存取項目，您可以：

• 授予特定 IAM 使用者或角色存取 EKS 叢集的許可

• 使用提供標準化、預先定義許可集的 AWS受管 EKS 存取政策來控制許可

• 特定命名空間或整個叢集的範圍許可

• 簡化存取管理，無需修改 aws-auth ConfigMap 或建立 Kubernetes RBAC 資源

• 使用 AWS整合的 Kubernetes 存取控制方法，涵蓋常見的使用案例，同時維護安全最佳實務

此方法建議用於大多數使用案例，因為它提供 AWS受管、標準化的許可，而無需手動 Kubernetes RBAC 組態。EKS 存取政策不需要手動設定 Kubernetes RBAC 資源，並提供涵蓋常見使用案例的預先定義許可集。

先決條件

• 叢集的身分驗證模式必須設定為啟用存取項目。如需詳細資訊，請參閱變更身分驗證模式以使用存取項目。

• 安裝和設定 AWS CLI，如 AWS 命令列界面使用者指南中的安裝中所述。

步驟 1：定義存取項目

1. 尋找您要授予許可的 IAM 身分 ARN，例如使用者或角色。

   • 每個 IAM 身分只能有一個 EKS 存取項目。

2. 判斷您希望 Amazon EKS 存取政策許可僅套用至特定 Kubernetes 命名空間，或在整個叢集中套用。

   • 如果您想要將許可限制在特定命名空間，請記下命名空間名稱。

3. 選取您想要用於 IAM 身分的 EKS 存取政策。此政策提供叢集內許可。請注意政策的 ARN。

   • 如需政策清單，請參閱可用的存取政策。

4. 判斷自動產生的使用者名稱是否適合存取項目，或者是否需要手動指定使用者名稱。

   • AWS 根據 IAM 身分自動產生此值。您可以設定自訂使用者名稱。這會顯示在 Kubernetes 日誌中。

   • 如需詳細資訊，請參閱設定 EKS 存取項目的自訂使用者名稱。

步驟 2：建立存取項目

規劃存取項目之後，請使用 AWS CLI 來建立該項目。

下列範例涵蓋大多數使用案例。檢視所有組態選項的 CLI 參考。

您將在下一個步驟中連接存取政策。

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD

步驟 3：關聯存取政策

命令會根據您是否希望將政策限制在指定的 Kubernetes 命名空間而有所不同。

您需要存取政策的 ARN。檢閱可用的存取政策。

建立不含命名空間範圍的政策

aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --policy-arn <access-policy-arn>

使用命名空間範圍建立

aws eks associate-access-policy --cluster-name <cluster-name> --principal-arn <iam-identity-arn> \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn <access-policy-arn>

後續步驟

• 建立 kubeconfig，讓您可以使用具有 IAM 身分的 kubectl