使 AWS 組能夠訪問 AWS EKS 集群
[英]Enabling AWS Group to access AWS EKS cluster
問題描述
這個問題本質上是在 AWS EKS 中將 IAM 組添加到 aws-auth configmap的副本。 但是,這個問題沒有公認的答案,我想提供更多背景信息。
我知道aws-auth ConfigMap object 不允許直接映射 AWS 組。 一種解決方法是將 map 改為 AWS 角色。 我試過了,但無法讓它工作。 映射 AWS 用戶可以正常工作。
我將賬戶027755483893的 AWS 角色arn:aws:iam::027755483893:role/development-readwrite設置為受信任實體,並附加了以下信任策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::027755483893:root"
},
"Action": "sts:AssumeRole"
}
]
}
我設置了一個 AWS 組arn:aws:iam::027755483893:group/development-readwrite並附加了以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::027755483893:role/development-readwrite"
]
}
]
}
我設置aws-auth ConfigMap 如下:
apiVersion: v1
data:
mapRoles: |
# Other mappings omitted for clarity
- groups:
- system:masters
rolearn: arn:aws:iam::027755483893:role/development-readwrite
mapUsers: |
[]
kind: ConfigMap
metadata:
creationTimestamp: "2019-08-21T08:25:15Z"
name: aws-auth
namespace: kube-system
resourceVersion: "62031092"
selfLink: /api/v1/namespaces/kube-system/configmaps/aws-auth
uid: 33b33620-c3ed-11e9-83c0-029bc9dcca16
但是,組中的任何用戶都無權訪問集群。 用戶是否需要明確承擔角色? 還有什么我想念的嗎?
1 個解決方案
解決方案1
4 已采納 2020-06-08 13:39:16
在這種情況下,用戶確實需要明確承擔角色。 用戶可以擔任該角色這一事實不足以讓他們實際訪問集群。
一種可以為您的用戶簡化它的方法是使用aws get token call 創建一個 kubeconfig 。 這允許您指定要為集群承擔的角色的 role_arn。
aws eks access denied aws-auth ConfigMap in your cluster is invalid 使用 terraform 創建 eks 托管節點組時出現錯誤
[英]aws eks access denied aws-auth ConfigMap in your cluster is invalid error on creating eks managed node group using terraform
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
AWS EKS 失去對集群的訪問權限
Aws eks 集群安全組,terraform
AWS EKS主群集安全組
aws eks access denied aws-auth ConfigMap in your cluster is invalid 使用 terraform 創建 eks 托管節點組時出現錯誤
AWS EKS:啟用許可控制器
如何將 map IAM 組添加到 AWS 中的 EKS 集群?
aws eks 集群的 kubectl 身份驗證
無法連接到 AWS EKS 集群
AWS:將 ASG 附加到 EKS 集群
授予 AWS 賬戶的所有用戶訪問 EKS 集群的權限
相關標簽