向用户授予查看集群上的 Kubernetes 资源的访问权限
授权其他 IAM 用户访问 Amazon EKS 控制台,查看有关在已连接集群上运行的 Kubernetes 资源的信息。
先决条件
您访问 Amazon Web Services Management Console 所用的 IAM 用户或角色必须满足以下要求。
-
它拥有
eks:AccessKubernetesApi权限。 -
Amazon EKS Connector Service 账户应能够模拟集群中的 IAM 或角色。这让 eks-connector 将 IAM 用户或角色映射到 Kubernetes 用户。
创建并应用 Amazon EKS Connector 集群角色
-
下载
eks-connector集群角色模板。curl -o eks-connector-clusterrole.yaml https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml -
编辑集群角色模板 YAML 文件。将
%IAM_ARN%参考替换为您的 IAM 用户或角色的 Amazon Resource Name (ARN)。 -
将 Amazon EKS Connector 集群角色 YAML 应用于您的 Kubernetes 集群。
kubectl apply -f eks-connector-clusterrole.yaml
要使 IAM 用户或角色在 Amazon EKS 控制台上查看 Kubernetes 资源,用户或角色必须与 Kubernetes role 或 clusterrole 关联,并拥有读取这些资源的必要权限。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权
要配置 IAM 用户以访问连接的集群
-
您可以下载示例清单,以创建
clusterrole和clusterrolebinding或role和rolebinding:-
查看所有命名空间中的 Kubernetes 资源 -
eks-connector-console-dashboard-full-access-clusterrole集群角色提供可在控制台中可视化的所有命名空间和资源的访问权限。您可以更改role、clusterrole及其对应绑定的名称,然后再将其应用于集群。使用以下命令下载示文件。curl -o eks-connector-console-dashboard-full-access-group.yaml https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml -
查看特定命名空间中的 Kubernetes 资源 – 此文件中的命名空间是
default,因此,如果要指定不同的命名空间,请编辑该文件,然后将其应用到集群。使用以下命令下载示例文件。curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
-
-
编辑完全访问权限或受限访问权限 YAML 文件以将
%IAM_ARN%参考替换为您的 IAM 用户或角色的 Amazon Resource Name (ARN)。 -
将完全访问权限或受限访问权限 YAML 文件应用于 Kubernetes 集群。将 YAML 文件的值替换为您自己的值。
kubectl apply -feks-connector-console-dashboard-full-access-group.yaml
要查看已连接集群中的 Kubernetes 资源,请参阅 查看 Kubernetes 资源。Resources(资源)选项卡上某些资源类型的数据不适用于已连接的集群。