**Ajudar a melhorar esta página** 

Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.

# Saiba como o controle de acesso funciona no Amazon EKS
<a name="cluster-auth"></a>

Saiba como gerenciar o acesso ao seu cluster do Amazon EKS. O uso do Amazon EKS exige o conhecimento de como o Kubernetes e o AWS Identity and Access Management (AWS IAM) lidam com o controle de acesso.

 **Esta seção inclui:** 

 ** [Conceder aos usuários e perfis do IAM acesso às APIs do Kubernetes](grant-k8s-access.md) **: saiba como permitir que aplicações ou usuários se autentiquem na API do Kubernetes. É possível usar entradas de acesso, o aws-auth ConfigMap ou um provedor de OIDC externo.

 ** [Visualize os recursos do Kubernetes na seção Console de gerenciamento da AWS](view-kubernetes-resources.md) **: saiba como configurar o Console de gerenciamento da AWS para se comunicar com o cluster do Amazon EKS. Use o console para visualizar os recursos do Kubernetes no cluster, como namespaces, nós e pods.

 ** [Concessão de acesso de gravação às APIs do Kubernetes pra serviços da AWS](mutate-kubernetes-resources.md) **: saiba mais sobre as permissões obrigatórias para modificar os recursos do Kubernetes.

 ** [Conecte o kubectl a um cluster de EKS criando um arquivo kubeconfig](create-kubeconfig.md) ** — saiba como configurar o kubectl para se comunicar com o cluster do Amazon EKS. Use a AWS CLI para criar um arquivo kubeconfig.

 ** [Conceder às workloads do Kubernetes acesso a AWS usando contas de serviço do Kubernetes](service-accounts.md) **: saiba como associar uma conta de serviço do Kubernetes a perfis do AWS IAM. É possível usar a Identidade de Pods ou perfis do IAM para contas de serviço (IRSA).

## Tarefas comuns
<a name="_common_tasks"></a>
+ Conceda aos desenvolvedores acesso à API do Kubernetes. Visualize os recursos do Kubernetes no Console de gerenciamento da AWS.
  + Solução: [use entradas de acesso](access-entries.md) para associar permissões RBAC do Kubernetes a usuários ou perfis do AWS IAM.
+ Configure o kubectl para se comunicar com um cluster do Amazon EKS usando credenciais da AWS.
  + Solução: usar a AWS CLI para [criar um arquivo kubeconfig](create-kubeconfig.md).
+ Use um provedor de identidade externo, como o Ping Identity, para autenticar usuários na API do Kubernetes.
  + Solução: [vincule um provedor de OIDC externo](authenticate-oidc-identity-provider.md).
+ Conceda às workloads no cluster do Kubernetes a capacidade de chamar APIs da AWS.
  + Solução: [use a Identidade de Pods](pod-identities.md) para associar um perfil do AWS IAM a uma conta de serviço do Kubernetes.

## Contexto
<a name="_background"></a>
+  [Saiba como as contas de serviço do Kubernetes funcionam.](https://kubernetes.io/docs/concepts/security/service-accounts/) 
+  [Analise o modelo de controle de acesso baseado em perfil (RBAC) do Kubernetes](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) 
+ Para obter mais informações sobre como gerenciar o acesso a recursos da AWS, consulte o [Guia do usuário do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html). Como alternativa, faça um [treinamento introdutório gratuito sobre o uso do AWS IAM](https://explore.skillbuilder.aws/learn/course/external/view/elearning/120/introduction-to-aws-identity-and-access-management-iam).

## Considerações para o Modo Automático do EKS
<a name="_considerations_for_eks_auto_mode"></a>

O Modo Automático do EKS se integra à Identidade de Pods do EKS e às entradas de acesso ao EKS.
+ O Modo Automático do EKS usa entradas de acesso para conceder permissões ao Kubernetes ao ambiente de gerenciamento do EKS. Por exemplo, as políticas de acesso permitem que o Modo Automático do EKS leia informações sobre endpoints e serviços de rede.
  + Você não pode desabilitar as entradas de acesso em um cluster do Modo Automático do EKS.
  + Opcionalmente, você pode habilitar o `ConfigMap` `aws-auth`.
  + As entradas de acesso para o Modo Automático do EKS são configuradas automaticamente. É possível visualizar essas entradas de acesso, mas não pode modificá-las.
  + Caso use um NodeClass para criar um perfil do IAM de nós personalizado, você precisará criar uma entrada de acesso para o perfil usando a política de acesso AmazonEKSAutoNodePolicy.
+ Caso queira conceder permissões de workloads para os serviços da AWS, use a Identidade de Pods do EKS.
  + Não é necessário instalar o agente da Identidade de Pods nos clusters do Modo Automático do EKS.