4.1.7 - Cluster Access Manager API zur Optimierung und Verbesserung der Verwaltung von Zugriffskontrollen innerhalb von EKS-Clustern (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1

Amazon EKS hat die Cluster Access Manager API eingeführt, um die Verwaltung von Zugriffskontrollen innerhalb von EKS-Clustern zu optimieren und zu verbessern. Dieser neue Ansatz wird nun gegenüber der traditionellen aws-auth ConfigMap für die Verwaltung von rollenbasierter Zugriffskontrolle (RBAC) und Servicekonten empfohlen.

Hauptvorteile der Verwendung der Cluster Access Manager API:

Simplified Access Management: Die Cluster Access Manager API ermöglicht Administratoren den direkten Zugriff über die Amazon EKS API zu verwalten, wodurch die manuelle Änderung der aws-auth ConfigMap entfällt. Dies reduziert den betrieblichen Aufwand und minimiert das Risiko von Fehlkonfigurationen.
Enhanced Security Controls: Mit dieser API können Administratoren vordefinierte, von AWS verwaltete Kubernetes-Berechtigungen, bekannt als "Zugriffsrichtlinien", IAM-Prinzipalen zuweisen. Dies bietet eine sicherere und auditierbare Möglichkeit zur Verwaltung von Berechtigungen im Vergleich zu manuellen ConfigMap-Bearbeitungen.
Improved Visibility and Auditing: Die API bietet eine bessere Sichtbarkeit in die Cluster-Zugriffskonfigurationen und erleichtert Audits und Compliance-Prüfungen. Administratoren können Zugriffsberechtigungen und Richtlinien direkt über die EKS-API auflisten und beschreiben.

Hinweis

EKS API wird standardmäßig bei der Erstellung des EKS-Clusters ausgewählt, kann jedoch während der anfänglichen Konfiguration geändert werden

Der überzeugende Grund für die Verwendung der Cluster Access Manager API anstelle des traditionellen aws-auth ConfigMap in Amazon EKS dreht sich um Sicherheit, Skalierbarkeit, Betriebseffizienz und vereinfachtes Management.

Erhöhte Sicherheit und reduziertes Risiko

Direct Management via API: Die Cluster Access Manager API ermöglicht es Ihnen, RBAC- und IAM-Berechtigungen direkt über die EKS-API zu verwalten, anstatt ein ConfigMap zu bearbeiten. Dies eliminiert das Risiko unbeabsichtigter Fehler beim manuellen Ändern des aws-auth ConfigMap.
Immutable Access Entries: Die API stellt sicher, dass einmal definierte Zugriffseinträge streng kontrolliert werden, wodurch das Risiko von versehentlichen Überschreibungen oder Fehlkonfigurationen, die beim Bearbeiten von YAML-Dateien auftreten können, verringert wird.
Fine-Grained Access Control: Durch die Nutzung der neuen API können Sie Zugriffsrichtlinien auf einer detaillierteren Ebene als mit der vorherigen Methode definieren. Dies stellt sicher, dass nur die notwendigen Berechtigungen erteilt werden, wodurch die Angriffsfläche minimiert wird.

Betriebseffizienz und Skalierbarkeit

Scalability: Die Verwaltung der Zugriffskontrolle über die aws-auth ConfigMap wird zunehmend schwieriger, wenn die Anzahl der Benutzer und Dienste wächst. Die neue API skaliert besser, indem sie das Zugriffsmanagement über standardmäßige AWS Identity and Access Management (IAM)-Tools ermöglicht.
Reduced Operational Overhead: Die API vereinfacht die Verwaltung von Zugriffskontrollen, indem sie die Notwendigkeit manueller Aktualisierungen der ConfigMap beseitigt, das Risiko menschlicher Fehler reduziert und die Bereitstellung von Zugriffen durch Infrastructure as Code (IaC)-Tools wie Terraform oder CloudFormation automatisiert.

Verbesserte Sichtbarkeit, Prüfung und Compliance

Auditable and Traceable Changes: Die Cluster Access Manager API integriert sich mit AWS CloudTrail, sodass Sie nachverfolgen können, wer Änderungen an den Zugriffskonfigurationen vorgenommen hat. Diese Sichtbarkeit ist entscheidend für Organisationen, die sich an Compliance-Rahmenwerke wie SOC 2, GDPR oder HIPAA halten müssen.
Zentrale Verwaltung: Im Gegensatz zum aws-auth ConfigMap, das auf Kubernetes-Ebene verwaltet wird, nutzt die neue API die zentralisierte Verwaltung und Audit-Funktionen von AWS IAM, um eine einheitliche Ansicht der Zugriffskontrollen in Ihrer AWS-Umgebung bereitzustellen.

Schnellere und sicherere Zugriffsbereitstellung

No More Cluster Downtime: Fehler in der aws-auth ConfigMap können Benutzer oder Administratoren versehentlich vom Cluster ausschließen, was komplexe Wiederherstellungsprozesse erfordert. Der API-basierte Ansatz ist widerstandsfähiger und verringert das Risiko von Fehlkonfigurationen, die zu Ausfallzeiten führen.
Immediate Effect: Änderungen, die über die API vorgenommen werden, treten sofort in Kraft, während Aktualisierungen des aws-auth ConfigMap möglicherweise eine Verzögerung erfordern oder in einigen Fällen sogar das Neustarten von Komponenten erforderlich machen.

Zukunftssicherung und Ausrichtung an AWS Best Practices

Native Support in Kubernetes Versions: Ab Kubernetes 1.23 wird die Cluster Access Manager API vollständig unterstützt und ist dazu gedacht, die aws-auth ConfigMap-Methode zu ersetzen. Dies stimmt mit der Roadmap und den Best Practices von AWS für EKS überein und stellt sicher, dass Ihre Infrastruktur mit zukünftigen Updates kompatibel bleibt.
Modern Approach for Pod Identity: In Kombination mit IAM-Rollen für Servicekonten (IRSA) oder der neuen Pod-Identitätsfunktion unterstützt die API ein dynamischeres und sichereres Modell zur Zuweisung von Berechtigungen an Pods, was die Implementierung des Prinzips der minimalen Rechte erleichtert.

Auswirkung

Der Wechsel zur Verwendung der Cluster Access Manager API anstelle des aws-auth ConfigMap wirkt sich auf EKS RBAC und Servicekonten aus, indem er die Zugriffskontrolle vereinfacht, das Risiko von Fehlkonfigurationen reduziert und die Sicherheit verbessert. Er ermöglicht eine detailliertere, direkte Verwaltung von IAM-Berechtigungen und Kubernetes-Rollen, wodurch manuelle ConfigMap-Bearbeitungen entfallen und der Betriebsaufwand verringert wird. Für Servicekonten integriert er sich besser mit bestehenden Mechanismen wie IAM-Rollen für Servicekonten (IRSA) für sicheren Pod-Zugriff auf AWS-Ressourcen, was die Durchsetzung von Prinzipien des geringsten Privilegs erleichtert. Dieser Übergang verbessert die Skalierbarkeit, Prüfung und Compliance und bietet eine zukunftssichere Lösung, die mit der Identitätsmanagement-Roadmap von AWS für Kubernetes übereinstimmt.

Prüfung

Um zu überprüfen, ob die Cluster Access Manager API auf Ihrem Amazon EKS-Cluster aktiv ist, können Sie den folgenden AWS CLI-Befehl verwenden:

aws eks describe-cluster --name $CLUSTER_NAME --query 
"cluster.accessConfig" --output json

Ersetzen Sie $CLUSTER_NAME durch den Namen Ihres EKS-Clusters.

Der Befehl fragt die Eigenschaft cluster.accessConfig ab, die den Authentifizierungsmodus des Clusters angibt.

Mögliche Ausgaben:

Wenn die Ausgabe "authenticationmode": "API" oder "authenticationmode": "API_AND_CONFIG_MAP" anzeigt, bedeutet dies, dass die Cluster Access Manager API aktiviert ist.

Wenn nur "authenticationmode": "CONFIG_MAP" angezeigt wird, verwendet der Cluster weiterhin den traditionellen aws-auth ConfigMap-Ansatz.

Wiederherstellung

Melden Sie sich bei der AWS-Management-Konsole an.

Navigieren Sie zu Amazon EKS und wählen Sie Ihren EKS-Cluster aus.

Gehen Sie zur Registerkarte "Zugriff" und klicken Sie im Abschnitt "Zugriffskonfiguration" auf "Zugriff verwalten".

Unter Cluster-Authentifizierungsmodus für Cluster-Zugriffseinstellungen.

Klicken Sie auf EKS API, um den Cluster zu ändern. Dabei werden authentifizierte IAM-Prinzipale nur aus EKS-Zugriffseintrags-APIs bezogen.
Klicken Sie auf ConfigMap, um den Cluster zu ändern. Authentifizierte IAM-Prinzipale werden nur aus der aws-auth ConfigMap bezogen.

Hinweis

EKS API und ConfigMap müssen während der Cluster-Erstellung ausgewählt werden und können nicht mehr geändert werden, sobald der Cluster bereitgestellt wurde.