帮助改进此页面
想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。
了解 Amazon EKS 中的访问控制工作原理
了解如何管理对您的 Amazon EKS 集群的访问权限。使用 Amazon EKS 需要了解 Kubernetes 和 Amazon Identity and Access Management(Amazon IAM)如何处理访问控制。
本部分包括:
向 IAM 用户和角色授予对 Kubernetes APIs 的访问权限 – 了解如何使应用程序或用户能够对 Kubernetes API 进行身份验证。您可以使用访问条目、aws-auth ConfigMap 或外部 OIDC 提供商。
在 Amazon Web Services Management Console 中查看 Kubernetes 资源 — 了解如何将 Amazon Web Services Management Console 配置为与您的 Amazon EKS 集群进行通信。使用控制台查看集群中的 Kubernetes 资源,例如命名空间、节点和 Pods。
通过创建 kubeconfig 文件将 kubectl 连接到 EKS 集群 – 了解如何将 kubectl 配置为与您的 Amazon EKS 集群进行通信。请使用 Amazon CLI 创建 kubeconfig 文件。
使用 Kubernetes 服务账户授予 Kubernetes 工作负载访问 Amazon 的权限 – 了解如何将 Kubernetes 服务账户与 Amazon IAM 角色关联。您可以将容器组身份或 IAM 角色用于服务账户的(IRSA)。
常见任务:
-
向开发人员授予对 Kubernetes API 的访问权限。在 Amazon Web Services Management Console 中查看 Kubernetes 资源。
-
解决方案:使用访问条目将 Kubernetes RBAC 权限与 Amazon IAM 用户或角色相关联。
-
-
将 kubectl 配置为使用 Amazon 凭证与 Amazon EKS 集群通信。
-
解决方案使用 Amazon CLI 创建 kubeconfig 文件。
-
-
使用外部身份提供商(例如 Ping Identity)对 Kubernetes API 进行用户身份验证。
-
解决方案:链接外部 OIDC 提供商。
-
-
授予 Kubernetes 集群上的工作负载调用 Amazon API 的能力。
-
解决方案:使用容器组身份将 Amazon IAM 角色与 Kubernetes 服务账户关联。
-
背景:
-
有关管理对 Amazon 资源的访问权限的更多信息,请参阅《Amazon IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/intro-structure.html。或者,请参加有关使用 Amazon IAM 的免费入门培训
。