Erfahren Sie, wie die Zugriffskontrolle in Amazon EKS funktioniert - Amazon EKS
Allgemeine AufgabenHintergrundÜberlegungen zu EKS Auto Mode

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erfahren Sie, wie die Zugriffskontrolle in Amazon EKS funktioniert

Erfahren Sie, wie Sie den Zugriff auf Ihren Amazon-EKS-Cluster verwalten. Die Verwendung von Amazon EKS erfordert Kenntnisse darüber, wie sowohl Kubernetes als auch AWS Identity and Access Management (AWS IAM) die Zugriffskontrolle handhaben.

Dieser Abschnitt enthält:

Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes APIs  – Erfahren Sie, wie Sie Anwendungen oder Benutzern die Authentifizierung bei der Kubernetes-API ermöglichen. Sie können Zugriffseinträge, aws-auth ConfigMap oder einen externen OIDC-Anbieter verwenden.

Kubernetes-Ressourcen anzeigen in der AWS-Managementkonsole— Erfahren Sie, wie Sie den AWS-Managementkonsole für die Kommunikation mit Ihrem Amazon EKS-Cluster konfigurieren. Verwenden Sie die Konsole, um Kubernetes-Ressourcen im Cluster anzuzeigen, z. B. Namespaces, Knoten und Pods.

AWS Diensten Schreibzugriff auf Kubernetes gewähren APIs— Erfahren Sie mehr über die Berechtigungen, die zum Ändern von Kubernetes-Ressourcen erforderlich sind.

kubectl mit einem EKS-Cluster durch Erstellen einer kubeconfig-Datei verbinden  – Erfahren Sie, wie Sie kubectl für die Kommunikation mit Ihrem Amazon-EKS-Cluster konfigurieren. Verwenden Sie die AWS CLI, um eine kubeconfig-Datei zu erstellen.

Kubernetes-Workloads Zugriff auf AWS mithilfe von Kubernetes-Servicekonten gewähren— Erfahren Sie, wie Sie ein Kubernetes-Dienstkonto mit IAM-Rollen verknüpfen. AWS Sie können Pod Identity oder IAM Roles for Service Accounts (IRSA) verwenden.

Allgemeine Aufgaben

  • Gewähren Sie Entwicklern Zugriff auf die Kubernetes-API. Kubernetes-Ressourcen finden Sie in der. AWS-Managementkonsole

  • Konfigurieren Sie kubectl so, dass es mithilfe AWS von Anmeldeinformationen mit einem Amazon EKS-Cluster kommuniziert.

  • Verwenden Sie einen externen Identitätsanbieter wie Ping Identity, um Benutzer bei der Kubernetes-API zu authentifizieren.

  • Gewähren Sie Workloads auf Ihrem Kubernetes-Cluster die Möglichkeit, Anrufe zu tätigen. AWS APIs

Hintergrund

Überlegungen zu EKS Auto Mode

EKS Auto Mode lässt sich mit EKS Pod Identity und EKS-Zugriffseinträgen integrieren.

  • EKS Auto Mode verwendet Zugriffseinträge, um der EKS-Steuerebene Kubernetes-Berechtigungen zu gewähren. Beispielsweise ermöglichen die Zugriffsrichtlinien EKS Auto Mode, Informationen über Netzwerkendpunkte und -services zu lesen

    • Es ist nicht möglich, Zugriffseinträge in einem EKS-Auto-Mode-Cluster zu deaktivieren.

    • Optional können Sie die aws-auth ConfigMap aktivieren.

    • Die Zugriffseinträge für EKS Auto Mode werden automatisch konfiguriert. Sie können diese Zugriffseinträge anzeigen, jedoch nicht ändern.

    • Wenn Sie eine NodeClass benutzerdefinierte Node-IAM-Rolle verwenden, müssen Sie mithilfe der EKSAuto NodePolicy Amazon-Zugriffsrichtlinie einen Zugriffseintrag für die Rolle erstellen.

  • Wenn Sie Workload-Berechtigungen für AWS Dienste gewähren möchten, verwenden Sie EKS Pod Identity.

    • Sie müssen den Pod-Identity-Agenten nicht auf EKS-Auto-Mode-Clustern installieren.