aws sts绑定k8s service account实现免ak授权

最新推荐文章于 2024-05-21 22:35:13 发布
最新推荐文章于 2024-05-21 22:35:13 发布
阅读量124 收藏
点赞数
文章标签: aws kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hello_250/article/details/129835333
版权

配置参考:

https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html

排查思路

kubectl get sa sa-name -o yaml
查看 eks.amazonaws.com/role-arn
kubectl describe pod podname
查看ENV
 AWS_STS_REGIONAL_ENDPOINTS:   regional
 AWS_DEFAULT_REGION:           us-east-1
 AWS_REGION:                   us-east-1
 AWS_ROLE_ARN:                 arn:aws:iam::xxxx:role/xxxx
 AWS_WEB_IDENTITY_TOKEN_FILE:  /var/run/secrets/eks.amazonaws.com/serviceaccount/token

pod里安装aws cli测试
执行

aws sts get-caller-identity
{
    "Account": "123456789012",
    "UserId": "AR1234567890123456",
    "Arn": "arn:aws:iam::123456789012:user/username"
}
hello_250
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
aws-sts-1.7.3.jar
07-22
标签:aws-sts-1.7.3.jar,aws,sts,1.7.3,jar包下载,依赖包
关于AWS STS使用小结
BAStriver的博客
04-06 2567
主要对迁移EC2的凭证、设计IAM密钥、自动化获取临时凭证这几个方面的测试做一下总结。
AWS STS - 以正确的方式设计IAM用户密钥
iloveaws的博客
04-14 3511
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 2-新解决方案设计】——-AWS STS – 以正确的方式设计IAM用户密钥 Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们前几个视频课程都在讨论AWS STS服务,今天将继续A...
AWS STS – 获取临时凭证的自动化执行
iloveaws的博客
04-23 2398
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的课程还是AWS STS服务的内容,AWS STS – 获取临时凭证的自动化执行。 我们开始今天的课程内容。 我们上节课讲了一个用户案例,通过将...
AWS STS 临时授权方案
Andy Tools
06-16 5060
官方文档:https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_request.html 描述一下这篇文章的背景: 1 背景 使用cognito 控制app接入:APP 通过cognito服务的开发者授权验证方式接入到的cognito服务身份池。通过userid 作为开发人员标识换到cognito indentity pool 的唯一标识 indentityid。 而每一个通过验证的用户都可以用身份映射到一个AWS IAM
k8s-eip:将弹性IPAWS上的Kubernetes节点以降低成本
03-22
它将一组指的弹性IPAWS上的多个K8S节点。它会期运行,因此您不能将其用于HA /关键用例。 问:是否会触发令人恐惧的弹性IP重新映射费用? 作为一个以省钱为目标的项目,肯没有:)。实际上,它会尝试不这样...
aws-k8s-provision:轻松地在AWS上部署kubernetes
05-25
AWS 上简化部署kubernetes project的方案一些变量(如集群service 的IP段, pod 分配的ip段等等)均已hardcode方式嵌入其中以便快速部署出kubernetes 环境, 同时方便理解各个组件工作原理以及相应的功能内容中有任何...
aws-service-operator:AWS Service Operator允许您使用kubectl创建AWS资源
01-30
aws-service-operator:AWS Service Operator允许您使用kubectl创建AWS资源
k8s-aws:用于在AWS上引导Kubernetes的kops包装器脚本
02-04
k8s-aws 这是一个kops包装器脚本,用于在AWS上创建Kubernetes集群并进行维护。 某些插件也已安装到新创建的集群中: 堆子 Kubernetes仪表板 Elasticsearch / Fluentd / Kibana(EFK)日志堆栈 监控堆栈 另外,还...
SAML to AWS STS Keys Conversion-crx插件
04-02
使用SSO(SAML 2.0)登录到AWS Webconsole后,使用AWS STS密钥生成文件。 它利用了“ assumeRoleWithSAML” API。 Google Chrome扩展程序,它将SAML 2.0声明转换为AWS STS密钥(临时凭证-> AccessKeyId,Secret...
AWS STS在region ap-east-1支持问题
Andy Tools
09-09 3795
原来一直没有用过香港区域STS 来签发临时授权令牌。然后近期开启了香港区域ap-east-1 然后进行测试发现通过STS签发的凭着获取S3中的文件抛出: The provided token is malformed or otherwise invalid 真的是相当的令人困惑。然后在东京区域 ap-northeast-1 建立了同样的存储桶,然后同样的代码去获取文件,就可以获取成功,让人不禁怀疑香港区域有点特殊。 ​ 最后知道翻到了 https://docs.aws.amazon.com/IAM/lat
AWS亚马逊实战-(移动端直传S3)服务器端调用AWS STS生成用户临时凭证上传至S3
06-15 2247
最终效果: 为每个用户生成一个有效时间为yi xi临时的凭证,返回给移动端,移动端通过临时凭证,直传至S3。并且限制用户只能在自己的目录下操作。
aws联合用户_AWS STS凭证和Google Apps联合用户
weixin_26717681的博客
08-15 949
aws联合用户This write-up outlines methods of working with the AWS Secure Token Service (STS) and Federated user accounts, where Google has been established as the Identity Provider. It is based on a recen...
AWS计算之Amazon Lightsail
QYHuiiQ
05-18 185
Lightsail提供了预配置地计算资源、网络、存储和数据传输选项,用户可以通过简单的界面选择所需的配置,轻松部署应用程序和网站,而无需担心复杂的基础架构管理细节。Lightsail 为开发人员、小型企业、学生以及需要简单虚拟专用服务器 (VPS) 解决方案的其他用户提供一种非常轻松的利用 AWS 的方法。当您的需求扩大时,您可以轻松跨越最初的边界,连接额外的 AWS 数据库、对象存储、缓存和内容分配服务。
AWS存储之Amazon Aurora
QYHuiiQ
05-21 61
Aurora的可用性高达99.99%,跨AWS区域部署时,客户可以使用全球数据库访问本地读取性能。使用无服务器功能,Aurora可在不到一秒钟的时间内扩展到能够处理数十万个事务的能力。Aurora的吞吐量是MySQL的5倍,是PostgreSQL的3倍。Aurora拥有广泛的合规性标准和一流的安全功能。引擎,兼容MySQL和PostgreSQL,提供了与这两种数据库引擎兼容的功能,同时具有更高的性能和可靠性。Amazon Aurora在全球范围内提供无与伦比的高性能和可用性,完全。
iOS swift5 AWS直播 WebRTC SDK for iOS Kinesis Video Streams
最新发布
baidu_40537062的博客
05-21 74
WebRTC SDK for iOS - AWSAmazon Kinesis Video iOS WebRTC Sample - github
AWS计算之Batch
QYHuiiQ
05-18 89
AWS Batch 根据提交的批处理作业的数量和特资源需求,动态配置计算资源的最佳数量和类型(例如 CPU 或内存优化型实例)。AWS Batch 规划、安排和执行各种计算服务和功能的批量 AWS 计算工作负载。AWS Batch可以自动调度、运行和监控批处理作业,用户无需管理底层的计算资源,可以专注于编写和提交作业。AWS Batch提供了灵活的配置选项,包括不同类型的计算环境和作业队列,以满足不同应用场景的需求。AWS Batch适用于机器学习模型训练、模拟和任何规模分析的批处理。
AWS self host k8s
08-17
AWS self host k8s是指在AWS上自行搭建和管理Kubernetes集群。为了创建一个admin用户并授予admin角色,你可以使用提供的yaml文件。首先,使用该文件创建admin用户并赋予管理员权限。然后,你可以通过token登陆dashboard。请按照以下步骤进行操作: 1. 使用yaml文件创建admin用户并赋予管理员权限: ``` kubectl apply -f admin-role.yaml ``` 这将创建一个admin用户并将其到admin角色,赋予管理员权限。 2. 验证创建是否成功: ``` kubectl get nodes ``` 这将显示你的集群中的节点信息,以确认集群的状态和角色。 3. 部署addon和AWS sts: ``` kubectl apply -f https://raw.githubusercontent.com/kubernetes/kubernetes/master/cluster/addons/storage-class/aws/default.yaml ``` 这将部署AWS的StorageClass addon,并为集群中的subnet打上标签。 4. 创建ALB Ingress Controller: ``` kubectl apply -f <alb-ingress-controller.yaml> ``` 根据你的需求,使用相应的yaml文件创建ALB Ingress Controller。这将为subnet打上标签。 5. 创建dashboard: ``` kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/master/src/deploy/recommended/kubernetes-dashboard.yaml ``` 这将创建Kubernetes dashboard,并将其部署到你的集群中。 请确保在执行上述操作之前,你已经正确配置了Kubernetes环境,并登录到了正确的AWS账号。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [k8s与aws--在ec2中部署高可用k8s1.13.1集群(ipvs,cloud-provider)](https://blog.csdn.net/weixin_34357887/article/details/88697980)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值