未擔任 AWS IAM 角色 - EKS
[英]AWS IAM Role not being assumed - EKS
問題描述
我的設置如下:
iam user --> iam user group --> assume role group policy --> eks cluster role --> eks role bindings
所以,我有一個承擔角色的政策:
assume_role_policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Action = "sts:AssumeRole"
Effect = "Allow"
Sid = ""
Principal = {
AWS = "arn:aws:iam::xxxxxxxxxxxxx:root"
}
},
]
然后我有一個用戶組,具有以下組策略:
policy = jsonencode({
Version = "2012-10-17"
Statement = [
{
Action = [
"sts:AssumeRole",
]
Sid = "AllowAssumeOrganizationAccountRole"
Effect = "Allow"
Resource = "arn:aws:iam::xxxxxxxxxxxx:role/ro-k8s-role"
},
]
然后,我對 EKS 具有以下集群角色:
rule {
api_groups = ["apps", "batch", "extensions"]
resources = ["pods", "deployments", "statefulsets", "events", "services", "pods/log", "pods/portforward"]
verbs = ["get", "list", "watch", "describe"]
}
然后是一組用於命名空間列表的角色綁定:
metadata {
name = "k8s-ro-${each.value}"
namespace = each.value
}
role_ref {
api_group = "rbac.authorization.k8s.io"
kind = "Role"
name = "k8s-ro"
}
subject {
kind = "User"
name = "k8s-user"
api_group = "rbac.authorization.k8s.io"
}
如果我然后使用組中用戶的個人資料,並檢查呼叫者身份......
{
"UserId": "XXXXXXXXXXXXXXXXXX",
"Account": "xxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::xxxxxxxxxxxxx:user/test-user"
}
我希望在這里看到承擔角色,對嗎? 這就解釋了為什么我看不到集群上運行的任何東西。
1 個解決方案
解決方案1
0 2022-07-12 08:37:53
當最初的問題得到解決時,我將關閉它。 我沒有正確配置 AWS 配置文件來自動處理代入角色。 哪個已經解決了這個問題。
~/.aws/config
[profile test]
cli_pager =
role_arn = arn:aws:iam::xxxxxxxxxxxx:role/k8s-role
source_profile = test
region = eu-west-1
~/.aws/憑證
[test]
aws_access_key_id = XXXXXXXXXXXXXXXXXX
aws_secret_access_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
使用假定的 IAM 角色從 EKS pod 訪問遠程 EKS 集群
[英]Access remote EKS cluster from an EKS pod, using an assumed IAM role
假定沒有授權執行IAM角色:資源上的狀態:GetActivityTask:arn:aws:states :: 012345678910:role /
[英]Assumed IAM Role is not authorized to perform: states:GetActivityTask on resource: arn:aws:states::012345678910:role/
部署時出現AWS Lambda和IAM錯誤:Lambda無法承擔為該功能定義的角色
[英]AWS Lambda and IAM error on deploy: The role defined for the function cannot be assumed by Lambda
您如何管理您假定的角色IAM策略以訪問AWS Secret Manager中的機密?
[英]how do you manager your assumed role IAM policies to access secrets in AWS secret manager?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
識別擔任 IAM 角色的 AWS IAM 用戶
使用假定的 IAM 角色從 EKS pod 訪問遠程 EKS 集群
如何列出假定的AWS IAM角色的可用策略
將 AWS IAM 角色分配給 AWS EKS Jenkins 代理 Pod
AWS Java SDK v2 未在 EKS 中使用 IRSA IAM 角色
假定未將AWS Role用作將來的CLI命令
假定沒有授權執行IAM角色:資源上的狀態:GetActivityTask:arn:aws:states :: 012345678910:role /
部署時出現AWS Lambda和IAM錯誤:Lambda無法承擔為該功能定義的角色
您如何管理您假定的角色IAM策略以訪問AWS Secret Manager中的機密?
允許lambda:InvokeFunction擔任IAM假定角色的策略
相關標簽