AWS eks 用户授权

已于 2023-02-24 17:27:13 修改
阅读量1.2k 收藏 2
点赞数
分类专栏: k8s 文章标签: aws 云计算
于 2023-02-24 15:55:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gnufre/article/details/129202083
版权

背景: 国内使用阿里云惯了,点点就可以完成大部分的工作,国外的AWS 大都是命令行操作,且权限设置的特别细,在创建集群后,给用户授权的工作中走了很多弯路,特记录一下。

前置条件:

1. 安装aws cli 、eksctl 命令行工具

案例: 授予用户对EKS集群的管理员权限

1. 把用户与k8s 中的Group组做映射

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:user/my-user \
    --group system:masters \
    --no-duplicate-arns

2.生成kubeconfig 文件

aws eks update-kubeconfig --name eks-cluster-name --region aws-region

3.验证

# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   45h

案例:授予role 对EKS集群的只读权限

1.创建iam role 角色

a.创建信任策略

创建一个名为 eks-connector-agent-trust-policy.json 的文件,其中包含要用于 IAM 角色的以下 JSON。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

b.创建策略

创建一个名为 eks-connector-agent-policy.json 的文件,其中包含要用于 IAM 角色的以下 JSON。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

c.创建AmazonEKSConnectorAgentRole 角色

使用您在之前列表项中创建的信任策略和策略创建 Amazon EKS Connector 代理角色。

aws iam create-role \
     --role-name AmazonEKSConnectorAgentRole \
     --assume-role-policy-document file://eks-connector-agent-trust-policy.json

将该策略附加到 Amazon EKS Connector 代理角色。

aws iam put-role-policy \
     --role-name AmazonEKSConnectorAgentRole \
     --policy-name AmazonEKSConnectorAgentPolicy \
     --policy-document file://eks-connector-agent-policy.json

2. 创建k8s rbac 权限

  eks-console-full-access.yaml  文件内容如下:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: eks-console-dashboard-full-access-clusterrole
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  - namespaces
  - pods
  - configmaps
  - endpoints
  - events
  - limitranges
  - persistentvolumeclaims
  - podtemplates
  - replicationcontrollers
  - resourcequotas
  - secrets
  - serviceaccounts
  - services
  verbs:
  - get
  - list
- apiGroups:
  - apps
  resources:
  - deployments
  - daemonsets
  - statefulsets
  - replicasets
  verbs:
  - get
  - list
- apiGroups:
  - batch
  resources:
  - jobs
  - cronjobs
  verbs:
  - get
  - list
- apiGroups:
  - coordination.k8s.io
  resources:
  - leases
  verbs:
  - get
  - list
- apiGroups:
  - discovery.k8s.io
  resources:
  - endpointslices
  verbs:
  - get
  - list
- apiGroups:
  - events.k8s.io
  resources:
  - events
  verbs:
  - get
  - list
- apiGroups:
  - extensions
  resources:
  - daemonsets
  - deployments
  - ingresses
  - networkpolicies
  - replicasets
  verbs:
  - get
  - list
- apiGroups:
  - networking.k8s.io
  resources:
  - ingresses
  - networkpolicies
  verbs:
  - get
  - list
- apiGroups:
  - policy
  resources:
  - poddisruptionbudgets
  verbs:
  - get
  - list
- apiGroups:
  - rbac.authorization.k8s.io
  resources:
  - rolebindings
  - roles
  verbs:
  - get
  - list
- apiGroups:
  - storage.k8s.io
  resources:
  - csistoragecapacities
  verbs:
  - get
  - list
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: eks-console-dashboard-full-access-binding
subjects:
- kind: Group
  name: eks-console-dashboard-full-access-group
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: eks-console-dashboard-full-access-clusterrole
  apiGroup: rbac.authorization.k8s.io

创建命令

kubectl apply -f eks-console-full-access.yaml

3. 把role角色与k8s集群做映射

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:role/AmazonEKSConnectorAgentRole \
    --group eks-console-dashboard-full-access-group \
    --no-duplicate-arns

案例:授予普通用户对k8s的权限

1.把用户与k8s集群做映射   示例中的--group  对应k8s中的ClusterRoleBinding的Group名称

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:user/my-user \
    --group eks-console-dashboard-full-access-group \
    --no-duplicate-arns

2.更新本地k8s的config 文件

aws eks update-kubeconfig --name eks-cluster-name --region aws-region

3.执行kubectl 命令验证

# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   45h

gnufre
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iam身份验证以及访问控制_如何将受限访问IAM用户添加到EKS群集
cumi7754的博客
08-15 1353
介绍 (Introduction) Elastic Kubernetes Service (EKS) is the fully managed Kubernetes service from AWS. It is deeply integrated with many AWS services, such as AWS Identity and Access Management (IAM) (...
AWS EKS 添加IAM用户角色
cnsre运维博客
12-03 590
作者:SRE运维博客 博客地址: https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211203931498/ 相关话题:https://www.cnsre.cn/tags/aws/ 因为创建 Amazon EKS 集群时,IAM 用户或角色会自动在集群的 RBAC 配置中被授予 system:masters 权限。例如,IAM 用户或角色可以是创建集群的联合身份用户。如果使用不属于 aws-auth ConfigMap 的 IAM 用..
AWS 使用tag进行精细权限控制
weixin_33696106的博客
07-12 1509
AWS一个账号下面可以通过IAM创建多个用户,但默认情况下,资源是没有用户属性的,一个账号下的资源,只要用户有这种资源的操作权限,那么不过是你自己创建的还是其他用户创建的,你都可以操作。但在客户的实际使用场景中,有时需要隔离各用户之间的资源。按照AWS的建议,那你需要创建不同的账号,比如你有开发测试资源环境,还有生产资源环境,那么你需要创建两个账号,但创建两个账号,在查询费用...
AWS管理员权限设置
ststcheung的博客
05-20 266
3、其他可以为管理员权限。2、无账单成本查看权限。
AWS WorkDocs对于用户权限的管理
09-11 325
AWS web管理界面创建好WorkDocs后,却发现只有简单的管理界面,无法直接管理用户权限,查了文档说可以在Admin Control Panel的地方设定,可是页面上却无法找到这个选项。 然后我在打开我创建的WorkDocs网页界面,在我的用户账户下面才发现这个选项。 点击进入后,发现管理功能还是挺丰富的。 ...
terraform-aws-eks:Terraform模块,可在AWS上创建EKS资源
02-04
在使用`terraform-aws-eks`时,应遵循最佳实践,如限制权限的IAM角色,使用安全的网络配置,以及定期更新集群和节点以保持安全性。此外,监控和日志记录也是关键,可以通过CloudWatch和EKS集成来实现。 总结,`...
terraform-eks:适用于AWS EKS的Terraform
02-01
AWS Elastic Kubernetes Service (EKS)是Amazon Web Services提供的一个完全托管的Kubernetes服务,允许用户AWS上轻松部署、运行和扩展容器化应用。EKS自动处理Kubernetes集群的可用性、安全性更新和工作负载调度...
terraform-aws-eks-jupyterhub:在30分钟内在Kubernetes(AWS EKS)上运行JupyterHub
02-04
创建EKS集群时,Terraform可以配置必要的AWS资源,如EC2实例、IAM角色和权限,以及Kubernetes Worker节点。 JupyterHub则是一个多用户版本的Jupyter Notebook服务器,可为用户提供个人工作空间。通过Kubernetes,...
Java_AWS EKS Kubernetes Masterclass DevOps微服务.zip
最新发布
05-22
EKS允许用户AWS上轻松创建、运行和管理Kubernetes集群,无需深入了解Kubernetes的底层基础设施。通过EKS,开发者可以专注于应用程序开发,而不用关心底层运维问题。 课程将涵盖如何设置和配置EKS集群,包括安全性...
AWS-EKS-平台
02-21
4. **安全与合规**:EKS符合行业标准,支持AWS Identity and Access Management (IAM) 控制,确保只有授权用户和角色可以访问集群资源。 5. **版本管理**:AWS自动管理和应用Kubernetes的新版本,确保用户始终...
AWSIAM 协助AWS 内的用户用户权限
zh_live的专栏
01-13 5171
AWS Identity and Access Management 是指 Web 服务,能够协助 Amazon Web Services (AWS) 客户管理 AWS 内的用户用户权限。该服务面向具有多个使用 Amazon EC2、Amazon RDS 和 AWS 管理控制台等 AWS 产品的用户或系统的组织。通过使用 IAM,您可以集中管理用户、安全证书(例如访问密钥),以及控制用户可访问哪
AWS EKS添加集群用户IAM角色
weixin_41335923的博客
11-15 1697
目录一、将 aws-auth ConfigMap 应用到集群二、将 IAM 用户或角色添加到 Amazon EKS 集群 Amazon EKS 使用 IAM 为Kubernetes 集群提供身份验证(通过 AWS CLI 的 1.16.156 版或更高版本中可用的 aws eks get-token 命令或者适用于 Kubernetes 的 AWS IAM 身份验证器),但它仍依赖于 Kubernetes 基于角色的访问控制 (RBAC) 来进行授权。 一、将 aws-auth ConfigMap 应用到
关于AWS中最小权限原则的理解
BAStriver的博客
12-27 478
最小权限是指每个程序和系统用户都应该具有完成任务所必需的最小权限集合。
解决AWS EKS 未经授权或访问被拒绝 (kubectl)
kekevin的博客
12-06 1995
如果您在运行kubectl命令时收到以下错误之一,则说明您的kubectl未针对 Amazon EKS 正确配置,或您使用的 IAM 用户或角色凭证未映射到 Amazon EKS 集群中具有足够权限的 Kubernetes RBAC 用户。 could not get token: AccessDenied: Access denied error: You must be logged in to the server (Unauthorized) error: the ...
AWS S3桶 配置访问权限(AKSK)的流程
dwe147的博客
08-12 4960
为了能访问有权限限制的AWS S3桶,需要在访问S3桶的机器上配置AKSK
GNU Stow详解:轻松管理软件的利器!
m0_72410588的博客
07-26 544
GNU Stow是一个符号链接管理器,用于创建符号链接来管理软件和配置文件。它的设计灵感来自于Unix系统中的软链接,通过符号链接的方式将软件安装到不同的目录中,从而方便地管理和更新软件。通过本篇博客的学习,我们全面了解了GNU Stow的概念、原理和使用方法。我们了解了GNU Stow的安装和配置步骤,以及如何安装、卸载软件包,管理配置文件和组织软件环境。我们还探讨了GNU Stow的进阶用法,包括模拟安装与检查、忽略文件、脚本化管理和插件扩展等。
EKS配置kubeconfig本地远程管理
qq_28399355的博客
12-23 816
参考文档 aws eks --region <region-code> update-kubeconfig --name <cluster_name> aws eks --region cn-northwest-1 update-kubeconfig --name eks-qa 问题解决 aws --region cn-northwest-1 eks update-kubeconfig --name eks-qa --role-arn arn:aws:iam::<aws_
EKS】基于Amazon EKS搭建kubernetes集群
宝耶需努力的技术分享博客
05-30 2126
Amazon Elastic Kubernetes Service (Amazon EKS) 是一项托管服务,可让您在 AWS 上轻松运行 Kubernetes,而无需安装、操作或维护您自己的 Kubernetes 控制面板或节点。Kubernetes 是一个用于实现容器化应用程序的部署、扩展和管理的自动化的开源系统。
AWS跨账户访问S3存储桶的6种方式
mmqgirlfriend的博客
11-14 570
S3存储桶跨账户访问的几种方式
AWS eks安装jenkins
12-26
根据提供的引用内容,AWS EKS(Amazon Elastic Kubernetes Service)不支持直接使用kubernetesDeploy部署Jenkins。但是,你可以通过重新部署Jenkins的Docker容器来在AWS EKS上安装Jenkins。 以下是一个示例的Docker...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值