向用户授予查看集群的访问权限
授权其他 IAM 用户访问 Amazon EKS 控制台,查看有关在已连接集群上运行的 Kubernetes 工作负载和 Pod(一组容器) 的信息。
先决条件
您访问 Amazon Web Services Management Console 所用的 IAM 用户或角色必须满足以下要求。
-
它拥有
eks:AccessKubernetesApi
权限。 -
Amazon EKS Connector Service 账户应能够模拟集群中的 IAM 或角色。这让 eks-connector 将 IAM 用户或角色映射到 Kubernetes 用户。
创建并应用 Amazon EKS Connector 集群角色
-
下载
eks-connector
集群角色模板。curl -o eks-connector-clusterrole.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
-
编辑集群角色模板 YAML 文件。将
%IAM_ARN%
参考替换为您的 IAM 用户或角色的 Amazon Resource Name (ARN)。 -
将 Amazon EKS Connector 集群角色 YAML 应用于您的 Kubernetes 集群。
kubectl apply -f eks-connector-clusterrole.yaml
要使 IAM 用户或角色在 Amazon EKS 控制台上可视化工作负载,必须与 Kubernetes role
或 clusterrole
关联,并拥有读取这些资源的必要权限。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权
要配置 IAM 用户以访问连接的集群
-
您可以下载示例清单,以创建
clusterrole
和clusterrolebinding
或role
和rolebinding
:-
查看所有命名空间中的 Kubernetes 资源 -
eks-connector-console-dashboard-full-access-clusterrole
集群角色提供可在控制台中可视化的所有命名空间和资源的访问权。您可以更改role
、clusterrole
及其对应绑定的名称,然后再将其应用于集群。使用以下命令下载示文件。curl -o eks-connector-console-dashboard-full-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
-
查看特定命名空间中的 Kubernetes 资源:此文件中的命名空间是
default
,因此,如果要指定不同的命名空间,请编辑该文件,然后将其应用到集群。使用以下命令下载示例文件。curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://amazon-eks.s3.us-west-2.amazonaws.com/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
-
-
编辑完全访问权限或受限访问权限 YAML 文件以将
%IAM_ARN%
参考替换为您的 IAM 用户或角色的 Amazon Resource Name (ARN)。 -
将完全访问权限或受限访问权限 YAML 文件应用于 Kubernetes 集群。将 YAML 文件的值替换为您自己的值。
kubectl apply -f
eks-connector-console-dashboard-full-access-group.yaml
要查看已连接的集群和节点,请参阅 查看节点。要查看工作负载,请参阅 查看工作负载。请记住,没有为连接的群集填充某些节点和工作负载数据。