Créer un utilisateur EIM avec OKS

Vous pouvez gérer des utilisateurs EIM dédiés afin qu’ils puissent accéder à certaines ressources hébergées dans les comptes techniques sur lesquels tournent vos clusters OKS. Ces utilisateurs sont créés avec des rôles prédéfinis, leur permettant d’accéder à des types de ressources spécifiques, tels que des volumes ou des snapshots.

OKS étant un service Kubernetes géré, vous n’avez pas d’accès direct à l’infrastructure sous-jacente, telle que le control plane ou les worker nodes. Lorsque vous créez un utilisateur, des clés d’accès sont générées et peuvent être utilisées pour se connecter à Cockpit. À ce stade, vous pouvez ensuite consulter les ressources associées au rôle attribué et effectuer des actions telles que la création de nouvelles ressources ou la suppression de ressources existantes.

Ces utilisateurs ne sont pas des utilisateurs EIM classiques. Chaque utilisateur est associé à un rôle prédéfini, qui lui donne accès à un type spécifique de ressource, comme des volumes ou des snapshots, sur la plateforme Cockpit.

La procédure suivante décrit comment créer des rôles d’utilisateur EIM.

Créer un utilisateur EIM avec OKS CLI

Avant de commencer : Installez OKS CLI. Pour en savoir plus, voir Installer et configurer OKS CLI.

La commande user create vous permet de créer un utilisateur EIM :

Exemple de requête

$ oks-cli user create \
    --profile "default" \
    --project-name NAME_OF_PROJECT \
    --user OKSSnapshotsManager \
    --ttl 1H \
    --nacl \
    --output json

Cette commande contient les options suivantes que vous devez spécifier :

(optionnel) profile-name : Le nom du profil que vous souhaitez utiliser pour créer votre utilisateur EIM.
project-name : Le nom du projet dans lequel l’utilisateur EIM a été créé. L’utilisateur EIM est limité à ce projet.
user : Le rôle utilisateur à créer. Les valeurs possibles sont :
- OKSVolumesManager : Accorde les autorisations nécessaires pour surveiller les volumes.
- OKSSnapshotsManager : Accorde les autorisations nécessaires pour surveiller les snapshots de volume.
  
  Vous pouvez en créer un de chaque par projet.
(optionnel) ttl : Définit la durée de validité (Time-To-Live) de la clé d’accès générée, à l’issue de laquelle celle-ci expire et ne peut plus être utilisée. Si aucune valeur n’est indiquée, la valeur par défaut de 7 jours s’applique.

Nous vous recommandons vivement d’utiliser cette option afin de limiter la durée de validité des clés d’accès et de réduire le risque de compromission des identifiants.
(optionnel) nacl : Applique un chiffrement de bout en bout aux AK/SK renvoyées, ajoutant ainsi une couche de sécurité supplémentaire.
(optionnel) output : Le format de sortie de la réponse (json | yaml). Par défaut, le format de la réponse est JSON.

La commande user create renvoie les éléments suivants :

UserName : Nom du rôle prédéfini sélectionné lors de la création de l’utilisateur. Les valeurs renvoyées sont soit OKSVolumesManager, soit OKSSnapshotsManager.
AccessKeys : Informations concernant la clé d’accès générée, notamment :
- AccessKeyId : L’identifiant de la clé d’accès.
- SecretKey : L’identifiant de la clé secrète.
  
  Vous devez conserver la clé d’accès en lieu sûr. La clé secrète n’est générée qu’une seule fois lors de la création et ne peut être récupérée par la suite.
- State : L’état de l’access key.
- CreationDate : La date et l’heure de création de l’access key, au format ISO 8601.
- ExpirationDate : La date et heure d’expiration de l’access key, au format ISO 8601.

Exemple de résultat

{
    "UserName": "OKSSnapshotsManager",
    "AccessKeys": [
        {
            "AccessKeyId": "ACCESS_KEY_ID",
            "SecretKey": "SECRET_KEY_ID",
            "State": "ACTIVE",
            "CreationDate": "2026-04-15T09:27:41.138+0000",
            "ExpirationDate": "2026-04-15T10:27:40.878+0000"
        }
    ]
}

Vous pouvez à présent vous connecter à Cockpit en utilisant les AK/SK renvoyés.

Pages connexes

Méthode API correspondante

CreateEimUser (OKS API)