[英]AWS EKS service account authentication
除了要求 get-token 在 EKS 上进行身份验证之外,还有其他方法吗?
今天 my.kube\config 看起来像这样
apiVersion: v1
clusters:
- cluster:
certificate-authority-datXXa: X==
server: https://XXX.gr7.us-east-1.eks.amazonaws.com
name: arn:aws:eks:us-east-1:XXX:cluster/XXX
contexts:
- context:
cluster: arn:aws:eks:us-east-1:XXX:cluster/XXX
namespace: xx
user: arn:aws:eks:us-east-1:XXX:cluster/XXX
name:arn:aws:eks:us-east-1:XXX:cluster/XXX
users:
- name: arn:aws:eks:us00000-east-1:0:cluster/user
user:
exec:
apiVersion: client.authentication.k8s.io/v1beta1
args:
- --region
- us-east-1
- eks
- get-token
- --cluster-name
尽管我尝试利用的服务仅支持基本令牌或客户端密钥数据身份验证。
因此,我想有一个我可以联系的用户,例如:
apiVersion: v1
clusters:
- cluster:
certificate-authority-datXXa: X==
server: https://XXX.gr7.us-east-1.eks.amazonaws.com
name: arn:aws:eks:us-east-1:XXX:cluster/XXX
contexts:
- context:
cluster: arn:aws:eks:us-east-1:XXX:cluster/XXX
namespace: xx
user: arn:aws:eks:us-east-1:XXX:cluster/XXX
name:arn:aws:eks:us-east-1:XXX:cluster/XXX
users:
**- name: test1
user:
client-certificate-data: LS0tLS1CXXXX==
client-key-data: LS0tLS1CXXXX==**
**- name: test2
user:
token: bGsdfsdoarxxxxx**
尝试创建一个服务帐户,但我无法创建 a.kube/config
与 Azure Kubernetes 服务不同,AWS EKS 仅使用一种类型的身份验证,即基于 webhook 令牌的身份验证,它由 AWS IAM Authencticator 实现,并使用本机 kubernetes RBAC 策略进行授权。
https://docs.aws.amazon.com/eks/latest/userguide/cluster-auth.html
Service Account 为在 Pod 中运行的进程提供身份,并映射到 ServiceAccount 对象。 当您向 API 服务器进行身份验证时,您将自己标识为特定用户。 Kubernetes 认可用户的概念,但是 Kubernetes 本身并没有 User API。
在 AWS 中,如果您的 pod 需要访问任何 aws 服务,您可以创建一个具有所需 IAM 角色的服务帐户,并且必须将其附加到 pod。 在这种情况下,您不能使用服务帐户进行客户端身份验证。
https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.