了解 Amazon EKS 中的访问控制工作原理

了解如何管理对您的 Amazon EKS 集群的访问权限。使用 Amazon EKS 需要了解 Kubernetes 和 Amazon Identity and Access Management（Amazon IAM）如何处理访问控制。

本部分包括：

向 IAM 用户和角色授予对 Kubernetes API 的访问权限 – 了解如何允许应用程序或用户对 Kubernetes API 进行身份验证。您可以使用访问条目、aws-auth ConfigMap 或外部 OIDC 提供商。

在 Amazon Web Services Management Console中查看 Kubernetes 资源 – 了解如何将 Amazon Web Services Management Console 配置为与 Amazon EKS 集群进行通信。使用控制台查看集群中的 Kubernetes 资源，例如命名空间、节点和容器组（pod）。

通过创建 kubeconfig 文件将 kubectl 连接到 EKS 集群 – 了解如何将 kubectl 配置为与 Amazon EKS 集群进行通信。请使用 Amazon CLI 创建 kubeconfig 文件。

使用 Kubernetes 服务账户授予 Kubernetes 工作负载访问 Amazon 的权限 – 了解如何将 Kubernetes 服务账户与 Amazon IAM 角色关联。您可以将容器组身份或 IAM 角色用于服务账户的（IRSA）。

常见任务

向开发人员授予对 Kubernetes API 的访问权限。在 Amazon Web Services Management Console中查看 Kubernetes 资源。
- 解决方案：使用访问条目将 Kubernetes RBAC 权限与 Amazon IAM 用户或角色相关联。
将 kubectl 配置为使用 Amazon 凭证与 Amazon EKS 集群通信。
- 解决方案使用 Amazon CLI 创建 kubeconfig 文件。
使用外部身份提供者（例如 Ping Identity）对 Kubernetes API 进行用户身份验证。
- 解决方案：链接外部 OIDC 提供商。
授予 Kubernetes 集群上的工作负载调用 Amazon API 的能力。
- 解决方案：使用容器组身份将 Amazon IAM 角色与 Kubernetes 服务账户关联。

背景

了解 Kubernetes 服务账户的工作原理。
查看 Kubernetes 基于角色的访问控制（RBAC）模型
有关管理对 Amazon 资源的访问权限的更多信息，请参阅《Amazon IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/intro-structure.html。或者，请参加有关使用 Amazon IAM 的免费入门培训。

EKS 自动模式注意事项

EKS 自动模式与 EKS 容器组身份和 EKS 访问条目集成。

EKS 自动模式使用访问条目向 EKS 控制面板授予 Kubernetes 权限。例如，访问策略允许 EKS 自动模式读取有关网络端点和服务的信息。
- 您不能在 EKS 自动模式集群上禁用访问条目。
- 您可以选择启用 aws-auth ConfigMap。
- EKS 自动模式的访问条目是自动配置的。您可以查看这些访问条目，但不能对其进行修改。
- 如果您使用节点类创建自定义节点 IAM 角色，则需要使用 AmazonEKSAutoNodePolicy 访问策略为该角色创建访问条目。
要向工作负载授予 Amazon 服务的权限，请使用 EKS 容器组身份。
- 您无需在 EKS 自动模式集群上安装容器组身份代理。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

启用可用区转移

Kubernetes API 访问权限