4.1.7 - Cluster Access Manager API zur Optimierung und Verbesserung der Verwaltung von Zugriffskontrollen innerhalb von EKS-Clustern (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1

Amazon EKS hat die Cluster Access Manager API eingeführt, um die Verwaltung von Zugriffskontrollen innerhalb von EKS-Clustern zu vereinfachen und zu verbessern. Dieser neue Ansatz ist nun die empfohlene Methode gegenüber dem traditionellen aws-auth ConfigMap zur Verwaltung von rollenbasierter Zugriffskontrolle (RBAC) und Servicekonten.

Wichtige Vorteile der Verwendung der Cluster Access Manager API:

Vereinfachtes Zugriffsmanagement: Die Cluster Access Manager API ermöglicht Administratoren den direkten Zugriff über die Amazon EKS API zu verwalten, wodurch die manuelle Änderung der aws-auth ConfigMap entfällt. Dies reduziert den betrieblichen Aufwand und minimiert das Risiko von Fehlkonfigurationen.
Erweiterte Sicherheitskontrollen: Mit dieser API können Administratoren vordefinierte, von AWS verwaltete Kubernetes-Berechtigungen, bekannt als "Zugriffsrichtlinien", IAM-Prinzipalen zuweisen. Dies bietet eine sicherere und auditierbare Möglichkeit zur Verwaltung von Berechtigungen im Vergleich zu manuellen ConfigMap-Bearbeitungen.
Verbesserte Sichtbarkeit und Prüfung: Die API bietet eine bessere Sichtbarkeit der Cluster-Zugriffskonfigurationen und erleichtert die Prüfung und Einhaltung von Vorschriften. Administratoren können Zugriffsberechtigungen und Richtlinien direkt über die EKS-API auflisten und beschreiben.

Hinweis

EKS API wird standardmäßig während der Erstellung des EKS-Clusters ausgewählt, kann jedoch während der anfänglichen Konfiguration geändert werden

Die überzeugende Begründung für die Verwendung der Cluster Access Manager API anstelle des traditionellen aws-auth ConfigMap in Amazon EKS dreht sich um Sicherheit, Skalierbarkeit, Betriebseffizienz und vereinfachtes Management.

Erhöhte Sicherheit und reduziertes Risiko

Direkte Verwaltung über API: Die Cluster Access Manager API ermöglicht es Ihnen, RBAC- und IAM-Berechtigungen direkt über die EKS-API zu verwalten, anstatt eine ConfigMap zu bearbeiten. Dies eliminiert das Risiko unbeabsichtigter Fehler beim manuellen Ändern der aws-auth ConfigMap.
Unveränderliche Zugriffseinträge: Die API stellt sicher, dass einmal definierte Zugriffseinträge streng kontrolliert werden, wodurch das Risiko von versehentlichen Überschreibungen oder Fehlkonfigurationen, die beim Bearbeiten von YAML-Dateien auftreten können, verringert wird.
Feingranulierte Zugriffskontrolle: Durch die Nutzung der neuen API können Sie Zugriffsrichtlinien auf einer detaillierteren Ebene als mit der vorherigen Methode definieren. Dies stellt sicher, dass nur die notwendigen Berechtigungen erteilt werden, wodurch die Angriffsfläche minimiert wird.

Betriebseffizienz und Skalierbarkeit

Skalierbarkeit: Die Verwaltung der Zugriffskontrolle über die aws-auth ConfigMap wird zunehmend herausfordernd, wenn die Anzahl der Benutzer und Dienste wächst. Die neue API skaliert besser, indem sie das Zugriffsmanagement über standardmäßige AWS Identity and Access Management (IAM)-Tools ermöglicht.
Reduzierter Betriebsaufwand: Die API vereinfacht die Verwaltung von Zugriffskontrollen, indem sie die Notwendigkeit manueller Aktualisierungen der ConfigMap beseitigt, das Risiko menschlicher Fehler reduziert und die Bereitstellung von Zugriffen durch Infrastructure as Code (IaC)-Tools wie Terraform oder CloudFormation automatisiert.

Verbesserte Sichtbarkeit, Prüfung und Compliance

Prüfbare und nachverfolgbare Änderungen: Die Cluster Access Manager API integriert sich mit AWS CloudTrail, sodass Sie nachverfolgen können, wer Änderungen an den Zugriffskonfigurationen vorgenommen hat. Diese Sichtbarkeit ist entscheidend für Organisationen, die sich an Compliance-Rahmenwerke wie SOC 2, GDPR oder HIPAA halten müssen.
Zentralisiertes Management: Im Gegensatz zur aws-auth ConfigMap, die auf Kubernetes-Ebene verwaltet wird, nutzt die neue API die zentralisierten Verwaltungs- und Prüfungsfunktionen von AWS IAM und bietet eine einheitliche Ansicht der Zugriffskontrollen in Ihrer AWS-Umgebung.

Schnellere und sicherere Zugangsbereitstellung

Keine Cluster-Ausfallzeiten mehr: Fehler in der aws-auth ConfigMap können Benutzer oder Administratoren versehentlich vom Cluster ausschließen, was komplexe Wiederherstellungsprozesse erfordert. Der API-basierte Ansatz ist widerstandsfähiger und verringert das Risiko von Fehlkonfigurationen, die zu Ausfallzeiten führen.
Sofortige Wirkung: Änderungen, die über die API vorgenommen werden, treten sofort in Kraft, während Aktualisierungen des aws-auth ConfigMap möglicherweise eine Verzögerung erfordern oder in einigen Fällen sogar das Neustarten von Komponenten erforderlich machen.

Zukunftssicherung und Ausrichtung an den Best Practices von AWS

Native-Unterstützung in Kubernetes-Versionen: Ab Kubernetes 1.23 wird die Cluster Access Manager API vollständig unterstützt und ist dazu gedacht, die aws-auth ConfigMap-Methode zu ersetzen. Dies stimmt mit der Roadmap und den Best Practices von AWS für EKS überein und stellt sicher, dass Ihre Infrastruktur mit zukünftigen Updates kompatibel bleibt.
Moderner Ansatz für Pod-Identität: In Kombination mit IAM-Rollen für Servicekonten (IRSA) oder der neuen Pod-Identitätsfunktion unterstützt die API ein dynamischeres und sichereres Modell zur Zuweisung von Berechtigungen zu Pods, was die Implementierung des Prinzips der minimalen Rechte erleichtert.

Auswirkung

Der Wechsel zur Verwendung der Cluster Access Manager API anstelle der aws-auth ConfigMap beeinflusst EKS RBAC und Servicekonten, indem er die Verwaltung der Zugriffskontrolle vereinfacht, das Risiko von Fehlkonfigurationen reduziert und die Sicherheit erhöht. Er ermöglicht eine detailliertere, direkte Verwaltung von IAM-Berechtigungen und Kubernetes-Rollen, eliminiert manuelle ConfigMap-Bearbeitungen und verringert den betrieblichen Aufwand. Für Servicekonten integriert er sich besser mit bestehenden Mechanismen wie IAM-Rollen für Servicekonten (IRSA) für sicheren Pod-Zugriff auf AWS-Ressourcen, was die Durchsetzung von Prinzipien des geringsten Privilegs erleichtert. Dieser Übergang verbessert die Skalierbarkeit, Prüfung und Compliance und bietet eine zukunftssichere Lösung, die mit dem Identitätsmanagement-Fahrplan von AWS für Kubernetes übereinstimmt.

Prüfung

Um zu überprüfen, ob die Cluster Access Manager API auf Ihrem Amazon EKS-Cluster aktiv ist, können Sie den folgenden AWS CLI-Befehl verwenden:

aws eks describe-cluster --name $CLUSTER_NAME --query 
"cluster.accessConfig" --output json

Ersetzen Sie $CLUSTER_NAME durch den Namen Ihres EKS-Clusters. Der Befehl fragt die cluster.accessConfig-Eigenschaft ab, die den Authentifizierungsmodus des Clusters angibt.

Mögliche Ausgaben:

Wenn die Ausgabe "authenticationmode": "API" or "authenticationmode": "API_AND_CONFIG_MAP" anzeigt, bedeutet dies, dass die Cluster Access Manager API aktiviert ist. Wenn nur "authenticationmode": "CONFIG_MAP" angezeigt wird, verwendet der Cluster noch den traditionellen aws-auth ConfigMap-Ansatz.

Wiederherstellung

Melden Sie sich bei der AWS-Managementkonsole an. Navigieren Sie zu Amazon EKS und wählen Sie Ihren EKS-Cluster aus. Gehen Sie zum Reiter "Zugriff" und klicken Sie auf "Zugriff verwalten" im Abschnitt "Zugriffskonfiguration". Unter Cluster-Authentifizierungsmodus für Cluster-Zugriffseinstellungen.

Klicken Sie auf EKS API, um den Cluster zu ändern. Dabei werden authentifizierte IAM-Prinzipale nur aus EKS-Zugriffseintrags-APIs bezogen.
Klicken Sie auf ConfigMap, um den Cluster zu ändern. Authentifizierte IAM-Prinzipale werden nur aus der aws-auth ConfigMap bezogen.

Hinweis

EKS API und ConfigMap müssen während der Cluster-Erstellung ausgewählt werden und können nicht geändert werden, sobald der Cluster bereitgestellt wurde.