帮助改进此页面
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。
授予在 Amazon EKS 控制台上查看 Kubernetes 集群资源的权限
向 IAM 主体授予对 Amazon EKS 控制台的访问权限,查看有关在已连接集群上运行的 Kubernetes 资源的信息。
先决条件
您访问 Amazon Web Services Management Console 所用的 IAM 主体必须满足以下要求:
-
它必须具有
eks:AccessKubernetesApiIAM 权限。 -
Amazon EKS Connector 服务账户应能够模拟集群中的 IAM 主体。这将允许 Amazon EKS Connector 将 IAM 主体映射到 Kubernetes 用户。
创建并应用 Amazon EKS Connector 集群角色
-
下载
eks-connector集群角色模板。curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml -
编辑集群角色模板 YAML 文件。将
%IAM_ARN%参考替换为您的 IAM 主体的 Amazon 资源名称(ARN)。 -
将 Amazon EKS Connector 集群角色 YAML 应用于您的 Kubernetes 集群。
kubectl apply -f eks-connector-clusterrole.yaml
要让某个 IAM 主体能够在 Amazon EKS 控制台上查看 Kubernetes 资源,该主体必须与 Kubernetes role 或 clusterrole 关联,并拥有读取这些资源的必要权限。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权
要配置 IAM 主体以访问连接的集群
-
您可以下载以下任一示例清单文件,分别创建
clusterrole和clusterrolebinding或role和rolebinding:- 查看所有命名空间中的 Kubernetes 资源
-
-
eks-connector-console-dashboard-full-access-clusterrole集群角色允许访问控制台中可视化的所有命名空间和资源。您可以更改role、clusterrole及其对应绑定的名称,然后再将其应用于集群。使用以下命令下载示文件。curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
-
- 查看特定命名空间中的 Kubernetes 资源
-
-
此文件中的命名空间是
default,因此如果要指定不同命名空间,请编辑该文件,然后应用到集群。使用以下命令下载示文件。curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
-
-
编辑完全访问权限或受限访问权限 YAML 文件以将
%IAM_ARN%参考替换为您的 IAM 主体的 Amazon 资源名称(ARN)。 -
将完全访问权限或受限访问权限 YAML 文件应用于 Kubernetes 集群。将 YAML 文件的值替换为您自己的值。
kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml
要查看已连接集群中的 Kubernetes 资源,请参阅 在 Amazon Web Services Management Console中查看 Kubernetes 资源。资源选项卡上某些资源类型的数据不适用于已连接的集群。