AWS eks 用户授权

已于 2023-02-24 17:27:13 修改
阅读量1.2k 收藏 2
点赞数
分类专栏: k8s 文章标签: aws 云计算
于 2023-02-24 15:55:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gnufre/article/details/129202083
版权

背景: 国内使用阿里云惯了,点点就可以完成大部分的工作,国外的AWS 大都是命令行操作,且权限设置的特别细,在创建集群后,给用户授权的工作中走了很多弯路,特记录一下。

前置条件:

1. 安装aws cli 、eksctl 命令行工具

案例: 授予用户对EKS集群的管理员权限

1. 把用户与k8s 中的Group组做映射

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:user/my-user \
    --group system:masters \
    --no-duplicate-arns

2.生成kubeconfig 文件

aws eks update-kubeconfig --name eks-cluster-name --region aws-region

3.验证

# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   45h

案例:授予role 对EKS集群的只读权限

1.创建iam role 角色

a.创建信任策略

创建一个名为 eks-connector-agent-trust-policy.json 的文件,其中包含要用于 IAM 角色的以下 JSON。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

b.创建策略

创建一个名为 eks-connector-agent-policy.json 的文件,其中包含要用于 IAM 角色的以下 JSON。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

c.创建AmazonEKSConnectorAgentRole 角色

使用您在之前列表项中创建的信任策略和策略创建 Amazon EKS Connector 代理角色。

aws iam create-role \
     --role-name AmazonEKSConnectorAgentRole \
     --assume-role-policy-document file://eks-connector-agent-trust-policy.json

将该策略附加到 Amazon EKS Connector 代理角色。

aws iam put-role-policy \
     --role-name AmazonEKSConnectorAgentRole \
     --policy-name AmazonEKSConnectorAgentPolicy \
     --policy-document file://eks-connector-agent-policy.json

2. 创建k8s rbac 权限

  eks-console-full-access.yaml  文件内容如下:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: eks-console-dashboard-full-access-clusterrole
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  - namespaces
  - pods
  - configmaps
  - endpoints
  - events
  - limitranges
  - persistentvolumeclaims
  - podtemplates
  - replicationcontrollers
  - resourcequotas
  - secrets
  - serviceaccounts
  - services
  verbs:
  - get
  - list
- apiGroups:
  - apps
  resources:
  - deployments
  - daemonsets
  - statefulsets
  - replicasets
  verbs:
  - get
  - list
- apiGroups:
  - batch
  resources:
  - jobs
  - cronjobs
  verbs:
  - get
  - list
- apiGroups:
  - coordination.k8s.io
  resources:
  - leases
  verbs:
  - get
  - list
- apiGroups:
  - discovery.k8s.io
  resources:
  - endpointslices
  verbs:
  - get
  - list
- apiGroups:
  - events.k8s.io
  resources:
  - events
  verbs:
  - get
  - list
- apiGroups:
  - extensions
  resources:
  - daemonsets
  - deployments
  - ingresses
  - networkpolicies
  - replicasets
  verbs:
  - get
  - list
- apiGroups:
  - networking.k8s.io
  resources:
  - ingresses
  - networkpolicies
  verbs:
  - get
  - list
- apiGroups:
  - policy
  resources:
  - poddisruptionbudgets
  verbs:
  - get
  - list
- apiGroups:
  - rbac.authorization.k8s.io
  resources:
  - rolebindings
  - roles
  verbs:
  - get
  - list
- apiGroups:
  - storage.k8s.io
  resources:
  - csistoragecapacities
  verbs:
  - get
  - list
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: eks-console-dashboard-full-access-binding
subjects:
- kind: Group
  name: eks-console-dashboard-full-access-group
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: eks-console-dashboard-full-access-clusterrole
  apiGroup: rbac.authorization.k8s.io

创建命令

kubectl apply -f eks-console-full-access.yaml

3. 把role角色与k8s集群做映射

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:role/AmazonEKSConnectorAgentRole \
    --group eks-console-dashboard-full-access-group \
    --no-duplicate-arns

案例:授予普通用户对k8s的权限

1.把用户与k8s集群做映射   示例中的--group  对应k8s中的ClusterRoleBinding的Group名称

eksctl create iamidentitymapping \
    --cluster my-cluster \
    --region=region-code \
    --arn arn:aws:iam::111122223333:user/my-user \
    --group eks-console-dashboard-full-access-group \
    --no-duplicate-arns

2.更新本地k8s的config 文件

aws eks update-kubeconfig --name eks-cluster-name --region aws-region

3.执行kubectl 命令验证

# kubectl get svc
NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
kubernetes   ClusterIP   10.100.0.1   <none>        443/TCP   45h

gnufre
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWS EKS添加集群用户IAM角色
weixin_41335923的博客
11-15 1695
目录一、将 aws-auth ConfigMap 应用到集群二、将 IAM 用户或角色添加到 Amazon EKS 集群 Amazon EKS 使用 IAM 为Kubernetes 集群提供身份验证(通过 AWS CLI 的 1.16.156 版或更高版本中可用的 aws eks get-token 命令或者适用于 Kubernetes 的 AWS IAM 身份验证器),但它仍依赖于 Kubernetes 基于角色的访问控制 (RBAC) 来进行授权。 一、将 aws-auth ConfigMap 应用到
解决AWS EKS 未经授权或访问被拒绝 (kubectl)
kekevin的博客
12-06 1990
如果您在运行kubectl命令时收到以下错误之一,则说明您的kubectl未针对 Amazon EKS 正确配置,或您使用的 IAM 用户或角色凭证未映射到 Amazon EKS 集群中具有足够权限的 Kubernetes RBAC 用户。 could not get token: AccessDenied: Access denied error: You must be logged in to the server (Unauthorized) error: the ...
AWS S3桶 配置访问权限(AKSK)的流程
dwe147的博客
08-12 4921
为了能访问有权限限制的AWS S3桶,需要在访问S3桶的机器上配置AKSK
GNU Stow详解:轻松管理软件的利器!
m0_72410588的博客
07-26 530
GNU Stow是一个符号链接管理器,用于创建符号链接来管理软件和配置文件。它的设计灵感来自于Unix系统中的软链接,通过符号链接的方式将软件安装到不同的目录中,从而方便地管理和更新软件。通过本篇博客的学习,我们全面了解了GNU Stow的概念、原理和使用方法。我们了解了GNU Stow的安装和配置步骤,以及如何安装、卸载软件包,管理配置文件和组织软件环境。我们还探讨了GNU Stow的进阶用法,包括模拟安装与检查、忽略文件、脚本化管理和插件扩展等。
EKS配置kubeconfig本地远程管理
qq_28399355的博客
12-23 809
参考文档 aws eks --region <region-code> update-kubeconfig --name <cluster_name> aws eks --region cn-northwest-1 update-kubeconfig --name eks-qa 问题解决 aws --region cn-northwest-1 eks update-kubeconfig --name eks-qa --role-arn arn:aws:iam::<aws_
terraform-aws-eks:Terraform模块,可在AWS上创建EKS资源
02-04
在使用`terraform-aws-eks`时,应遵循最佳实践,如限制权限的IAM角色,使用安全的网络配置,以及定期更新集群和节点以保持安全性。此外,监控和日志记录也是关键,可以通过CloudWatch和EKS集成来实现。 总结,`...
terraform-eks:适用于AWS EKS的Terraform
02-01
AWS Elastic Kubernetes Service (EKS)是Amazon Web Services提供的一个完全托管的Kubernetes服务,允许用户AWS上轻松部署、运行和扩展容器化应用。EKS自动处理Kubernetes集群的可用性、安全性更新和工作负载调度...
terraform-aws-eks-jupyterhub:在30分钟内在Kubernetes(AWS EKS)上运行JupyterHub
02-04
创建EKS集群时,Terraform可以配置必要的AWS资源,如EC2实例、IAM角色和权限,以及Kubernetes Worker节点。 JupyterHub则是一个多用户版本的Jupyter Notebook服务器,可为用户提供个人工作空间。通过Kubernetes,...
Java_AWS EKS Kubernetes Masterclass DevOps微服务.zip
最新发布
05-22
EKS允许用户AWS上轻松创建、运行和管理Kubernetes集群,无需深入了解Kubernetes的底层基础设施。通过EKS,开发者可以专注于应用程序开发,而不用关心底层运维问题。 课程将涵盖如何设置和配置EKS集群,包括安全性...
AWS-EKS-平台
02-21
4. **安全与合规**:EKS符合行业标准,支持AWS Identity and Access Management (IAM) 控制,确保只有授权用户和角色可以访问集群资源。 5. **版本管理**:AWS自动管理和应用Kubernetes的新版本,确保用户始终...
EKS】基于Amazon EKS搭建kubernetes集群
宝耶需努力的技术分享博客
05-30 2111
Amazon Elastic Kubernetes Service (Amazon EKS) 是一项托管服务,可让您在 AWS 上轻松运行 Kubernetes,而无需安装、操作或维护您自己的 Kubernetes 控制面板或节点。Kubernetes 是一个用于实现容器化应用程序的部署、扩展和管理的自动化的开源系统。
AWS跨账户访问S3存储桶的6种方式
mmqgirlfriend的博客
11-14 552
S3存储桶跨账户访问的几种方式
aws eks升级
bulingbulingX的博客
10-11 330
eks新节点没有标签,导致pod无法调度到新节点,需要给新节点添加标签,将prd01-a-tky-eks-nodegroup-gsp-fr节点组其中一个节点设置成env=operation,其它节点设置成env=prd。因生产环境权限控制严格,需要在chat上联系Nakamura-san,将节点组名称发给他,由他在页面上进行操作。修改prd03.tfvars中集群名、集群版本、节点组名。使用terrafrom创建eks集群。kube-proxy版本。VPC CNI不需要升级。VPC CNI不需要升级。
windows下远程连接aws EKS集群
xcswswswws的博客
03-21 685
windows下远程连接awsEKS集群
aws上创建eks集群
qiaotl的博客
06-14 2242
aws上创建eks集群前,需要先创建vpc和subnet以及role,因为在创建集群时会用到。 1.创建VPC 对于创建vpc,进入create vpc界面创建即可,这里用的都是默认值。 2.创建subnet 这里要创建两个subnet,且两个subnet的可用区(Availability zone)要选择不同的可用区。 3.创建eks cluster role,创建过程很简单,按官网指导文档选择创建即可。 这里use case选择eks,如果是给托管节点组创建rol........
玩转aws之(一)eks集群部署
manwufeilong的博客
09-23 3051
aws官方用户指南中关于创建EKS集群部分,看了几次才理解了整个创建过程,这里总结了创建集群的过程和步骤,可以通过eksctl、管理控制台和aws cli创建集群,这里通过管理控制台进行创建EKS创建后默认没有worker节点、附加组件只有vpc cni、coredns、kubeproxy,因此需要自己添加worker节点和其它自定义组件,如ingress controll创建步骤创建集群角色创建EKS集群添加node配置kubectl安装ingress/alb(可选)
小工具 - 实时获取AWS IAM权限使用情况
koxia的博客
09-01 311
AWSIAM是个非常不错的用户/资源权限关系平台,且不说,对于新手而言,那成堆的权限已经让人看的头皮发麻,对于我们这种已经算是很熟悉AWS系统的人而言,也不是每次能搞清楚什么命令需要具体的IAM。 这里就要提到一个小工具,方便我们能快速的判断出哪些权限是需要,这样可以在最大程度上确保我们只给到了用户/资源TA所需要的必要权限,避免由于过多的给予权限造成潜在的误操作。 首先复习一下基本的IAM结构。示例是从AWS IAM中直接生成的,所以Sid字段就是默认的VisualEditor0。在这个示例中,我们
AWS EKS 添加IAM用户角色
cnsre运维博客
12-03 588
作者:SRE运维博客 博客地址: https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211203931498/ 相关话题:https://www.cnsre.cn/tags/aws/ 因为创建 Amazon EKS 集群时,IAM 用户或角色会自动在集群的 RBAC 配置中被授予 system:masters 权限。例如,IAM 用户或角色可以是创建集群的联合身份用户。如果使用不属于 aws-auth ConfigMap 的 IAM 用..
AWS Systems Manager(SSM)
iloveaws的博客
08-04 2426
可以通过SSM服务的会话管理登陆实例,而不通过SSH。对于SAP认证考试,您需要掌握上面这部分的内容,尤其是前面的这个在维护窗口指定的AWS-RunPatchBaseline的document的这个名称,以及前面讲过的windows操作系统aws预定义的PatchBaseline的具体的名称。另外,除了使用AWS预定义的,也可以自定义PatchBaseline,定义要自动批准的补丁,如定义自动批准补丁的操作系统的名称,定义更新的类别,如关键更新,还是安全更新等,以及严重程度如关键、重要等等。...
AWS eks安装jenkins
12-26
根据提供的引用内容,AWS EKS(Amazon Elastic Kubernetes Service)不支持直接使用kubernetesDeploy部署Jenkins。但是,你可以通过重新部署Jenkins的Docker容器来在AWS EKS上安装Jenkins。 以下是一个示例的Docker Compose文件,用于在AWS EKS上安装Jenkins: ```yaml version: '3' services: jenkins: image: 'harbor.abc.com/library/jenkins-aws:lts' restart: always ports: - "8080:8080" expose: - "8080" - "50000" extra_hosts: - "gitlab.abc.com:192.168.1.37" - "nexus.abc.com:192.168.1.30" privileged: true container_name: jenkins environment: - TZ=Asia/Shanghai volumes: - ./jenkins_home/:/var/jenkins_home - ./jenkinswar/jenkins.war:/usr/share/jenkins/jenkins.war ``` 你可以将上述Docker Compose文件保存为`docker-compose.yml`,然后使用以下命令在AWS EKS上部署Jenkins: ```shell kubectl apply -f docker-compose.yml ``` 这将使用Docker Compose文件创建一个Jenkins容器,并将其部署到AWS EKS集群中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值