帮助改进此页面
想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。
授予在 Amazon EKS 控制台上查看 Kubernetes 集群资源的权限
授权 IAM 主体访问 Amazon EKS 控制台,查看有关在已连接集群上运行的 Kubernetes 资源的信息。
先决条件
您访问 Amazon Web Services Management Console 所用的 IAM 主体必须满足以下要求:
-
它必须具有
eks:AccessKubernetesApiIAM 权限。 -
Amazon EKS Connector 服务账户应能够模拟集群中的 IAM 主体。这让 Amazon EKS Connector 将 IAM 主体映射到 Kubernetes 用户。
创建并应用 Amazon EKS Connector 集群角色
-
下载
eks-connector集群角色模板。curl -O https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml -
编辑集群角色模板 YAML 文件。将
%IAM_ARN%参考替换为您的 IAM 主体的 Amazon 资源名称(ARN)。 -
将 Amazon EKS Connector 集群角色 YAML 应用于您的 Kubernetes 集群。
kubectl apply -f eks-connector-clusterrole.yaml
要使某个 IAM 主体在 Amazon EKS 控制台上查看 Kubernetes 资源,该主体必须与 Kubernetes role 或 clusterrole 关联,并拥有读取这些资源的必要权限。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权
要配置 IAM 主体以访问连接的集群
-
您可以下载以下任一示例清单文件,分别创建
clusterrole和clusterrolebinding或role和rolebinding:- 查看所有命名空间中的 Kubernetes 资源
-
eks-connector-console-dashboard-full-access-clusterrole集群角色允许访问控制台中可视化的所有命名空间和资源。您可以更改role、clusterrole及其对应绑定的名称,然后再将其应用于集群。使用以下命令下载示文件。curl -O https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml - 查看特定命名空间中的 Kubernetes 资源
-
此文件中的命名空间是
default,因此,如果要指定不同的命名空间,请编辑该文件,然后将其应用到集群。使用以下命令下载示例文件。curl -O https://s3.cn-north-1.amazonaws.com.cn/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
-
编辑完全访问权限或受限访问权限 YAML 文件以将
%IAM_ARN%参考替换为您的 IAM 主体的 Amazon 资源名称(ARN)。 -
将完全访问权限或受限访问权限 YAML 文件应用于 Kubernetes 集群。将 YAML 文件的值替换为您自己的值。
kubectl apply -feks-connector-console-dashboard-full-access-group.yaml
要查看已连接集群中的 Kubernetes 资源,请参阅 在 Amazon Web Services Management Console 中查看 Kubernetes 资源。Resources(资源)选项卡上某些资源类型的数据不适用于已连接的集群。