向用户授予查看集群的访问权限 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

向用户授予查看集群的访问权限

授权其他 IAM 用户访问 Amazon EKS 控制台,查看有关在已连接集群上运行的 Kubernetes 工作负载和 Pod(一组容器) 的信息。

先决条件

您访问 Amazon Web Services Management Console 所用的 IAM 用户或角色必须满足以下要求。

  • 它拥有 eks:AccessKubernetesApi 权限。

  • Amazon EKS Connector Service 账户应能够模拟集群中的 IAM 或角色。这让 eks-connector 将 IAM 用户或角色映射到 Kubernetes 用户。

创建并应用 Amazon EKS Connector 集群角色

  1. 下载 eks-connector 集群角色模板。

    curl -o eks-connector-clusterrole.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. 编辑集群角色模板 YAML 文件。将 %IAM_ARN% 参考替换为您的 IAM 用户或角色的 Amazon Resource Name (ARN)。

  3. 将 Amazon EKS Connector 集群角色 YAML 应用于您的 Kubernetes 集群。

    kubectl apply -f eks-connector-clusterrole.yaml

要使 IAM 用户或角色在 Amazon EKS 控制台上可视化工作负载,必须与 Kubernetes roleclusterrole 关联,并拥有读取这些资源的必要权限。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权

要配置 IAM 用户以访问连接的集群

  1. 您可以下载示例清单,以创建 clusterroleclusterrolebindingrolerolebinding

    • 查看所有命名空间中的 Kubernetes 资源 - eks-connector-console-dashboard-full-access-clusterrole 集群角色提供可在控制台中可视化的所有命名空间和资源的访问权。您可以更改 roleclusterrole 及其对应绑定的名称,然后再将其应用于集群。使用以下命令下载示文件。

      curl -o eks-connector-console-dashboard-full-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    • 查看特定命名空间中的 Kubernetes 资源:此文件中的命名空间是 default,因此,如果要指定不同的命名空间,请编辑该文件,然后将其应用到集群。使用以下命令下载示例文件。

      curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. 编辑完全访问权限或受限访问权限 YAML 文件以将 %IAM_ARN% 参考替换为您的 IAM 用户或角色的 Amazon Resource Name (ARN)。

  3. 将完全访问权限或受限访问权限 YAML 文件应用于 Kubernetes 集群。将 YAML 文件的值替换为您自己的值。

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

要查看已连接的集群和节点,请参阅 查看节点。要查看工作负载,请参阅 查看工作负载。请记住,没有为连接的群集填充某些节点和工作负载数据。