AWS EKS 服务账户认证

Question

除了要求 get-token 在 EKS 上进行身份验证之外，还有其他方法吗？

今天 my.kube\config 看起来像这样

apiVersion: v1
clusters:
- cluster:
    certificate-authority-datXXa: X==
    server: https://XXX.gr7.us-east-1.eks.amazonaws.com
  name: arn:aws:eks:us-east-1:XXX:cluster/XXX
contexts:
- context:
    cluster: arn:aws:eks:us-east-1:XXX:cluster/XXX
    namespace: xx
    user: arn:aws:eks:us-east-1:XXX:cluster/XXX
  name:arn:aws:eks:us-east-1:XXX:cluster/XXX
users:
- name: arn:aws:eks:us00000-east-1:0:cluster/user
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1beta1
      args:
      - --region
      - us-east-1
      - eks
      - get-token
      - --cluster-name

尽管我尝试利用的服务仅支持基本令牌或客户端密钥数据身份验证。

因此，我想有一个我可以联系的用户，例如：

apiVersion: v1
clusters:
- cluster:
    certificate-authority-datXXa: X==
    server: https://XXX.gr7.us-east-1.eks.amazonaws.com
  name: arn:aws:eks:us-east-1:XXX:cluster/XXX
contexts:
- context:
    cluster: arn:aws:eks:us-east-1:XXX:cluster/XXX
    namespace: xx
    user: arn:aws:eks:us-east-1:XXX:cluster/XXX
  name:arn:aws:eks:us-east-1:XXX:cluster/XXX
users:
**- name: test1
  user:
    client-certificate-data: LS0tLS1CXXXX==
    client-key-data: LS0tLS1CXXXX==**
**- name: test2
  user:
   token: bGsdfsdoarxxxxx**

尝试创建一个服务帐户，但我无法创建 a.kube/config

Answer 1

与 Azure Kubernetes 服务不同，AWS EKS 仅使用一种类型的身份验证，即基于 webhook 令牌的身份验证，它由 AWS IAM Authencticator 实现，并使用本机 kubernetes RBAC 策略进行授权。

https://docs.aws.amazon.com/eks/latest/userguide/cluster-auth.html

Service Account 为在 Pod 中运行的进程提供身份，并映射到 ServiceAccount 对象。 当您向 API 服务器进行身份验证时，您将自己标识为特定用户。 Kubernetes 认可用户的概念，但是 Kubernetes 本身并没有 User API。

在 AWS 中，如果您的 pod 需要访问任何 aws 服务，您可以创建一个具有所需 IAM 角色的服务帐户，并且必须将其附加到 pod。 在这种情况下，您不能使用服务帐户进行客户端身份验证。

https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html