了解 Amazon EKS 中的访问控制工作原理 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

了解 Amazon EKS 中的访问控制工作原理

了解如何管理对您的 Amazon EKS 集群的访问权限。使用 Amazon EKS 需要了解 Kubernetes 和 Amazon Identity and Access Management(Amazon IAM)如何处理访问控制。

本部分包括:

向 IAM 用户和角色授予对 Kubernetes APIs 的访问权限了解如何使应用程序或用户能够对 Kubernetes API 进行身份验证。您可以使用访问条目、aws-auth ConfigMap 或外部 OIDC 提供商。

在 Amazon Web Services Management Console 中查看 Kubernetes 资源了解如何将 Amazon Web Services Management Console 配置为与您的 Amazon EKS 集群进行通信。使用控制台查看集群中的 Kubernetes 资源,例如命名空间、节点和 Pods。

通过创建 kubeconfig 文件将 kubectl 连接到 EKS 集群了解如何将 kubectl 配置为与您的 Amazon EKS 集群进行通信。请使用 Amazon CLI 创建 kubeconfig 文件。

使用 Kubernetes 服务账户授予 Kubernetes 工作负载访问 Amazon 的权限 了解如何将 Kubernetes 服务账户与 Amazon IAM 角色关联。您可以将容器组身份或 IAM 角色用于服务账户的(IRSA)。

常见任务:

  • 向开发人员授予对 Kubernetes API 的访问权限。在 Amazon Web Services Management Console 中查看 Kubernetes 资源。

    • 解决方案:使用访问条目将 Kubernetes RBAC 权限与 Amazon IAM 用户或角色相关联。

  • 将 kubectl 配置为使用 Amazon 凭证与 Amazon EKS 集群通信。

  • 使用外部身份提供商(例如 Ping Identity)对 Kubernetes API 进行用户身份验证。

  • 授予 Kubernetes 集群上的工作负载调用 Amazon API 的能力。

背景: