aws sts绑定k8s service account实现免ak授权

于 2023-03-29 13:53:41 发布
阅读量159 收藏
点赞数
文章标签: aws kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hello_250/article/details/129835333
版权

配置参考:

https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html

排查思路

kubectl get sa sa-name -o yaml
查看 eks.amazonaws.com/role-arn
kubectl describe pod podname
查看ENV
 AWS_STS_REGIONAL_ENDPOINTS:   regional
 AWS_DEFAULT_REGION:           us-east-1
 AWS_REGION:                   us-east-1
 AWS_ROLE_ARN:                 arn:aws:iam::xxxx:role/xxxx
 AWS_WEB_IDENTITY_TOKEN_FILE:  /var/run/secrets/eks.amazonaws.com/serviceaccount/token

pod里安装aws cli测试
执行

aws sts get-caller-identity
{
    "Account": "123456789012",
    "UserId": "AR1234567890123456",
    "Arn": "arn:aws:iam::123456789012:user/username"
}
hello_250
关注
AWS EKS(K8S)部署容器化JIRA服务
qq_33291244的博客
01-06 938
1.创建Service.yaml文件 vim jira_service.yaml apiVersion: v1 kind: Service metadata: labels: app: jira name: jira spec: ports: - port: 8080 targetPort: 8080 selector: app: jira type: NodePort --- apiVersion: v1 kind: Service metadata
aws-sts-1.7.3.jar
07-22
标签:aws-sts-1.7.3.jar,aws,sts,1.7.3,jar包下载,依赖包
AWS STS – 获取临时凭证的自动化执行
iloveaws的博客
04-23 2522
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的课程还是AWS STS服务的内容,AWS STS – 获取临时凭证的自动化执行。 我们开始今天的课程内容。 我们上节课讲了一个用户案例,通过将...
AWS STS 临时授权方案
Andy Tools
06-16 5284
官方文档:https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_request.html 描述一下这篇文章的背景: 1 背景 使用cognito 控制app接入:APP 通过cognito服务的开发者授权验证方式接入到的cognito服务身份池。通过userid 作为开发人员标识换到cognito indentity pool 的唯一标识 indentityid。 而每一个通过验证的用户都可以用身份映射到一个AWS IAM
关于AWS STS使用小结
BAStriver的博客
04-06 2727
主要对迁移EC2的凭证、设计IAM密钥、自动化获取临时凭证这几个方面的测试做一下总结。
AWS STS - 以正确的方式设计IAM用户密钥
iloveaws的博客
04-14 3607
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 2-新解决方案设计】——-AWS STS – 以正确的方式设计IAM用户密钥 Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们前几个视频课程都在讨论AWS STS服务,今天将继续A...
k8s-eip:将弹性IP绑定AWS上的Kubernetes节点以降低成本
03-22
它将一组指定的弹性IP绑定AWS上的多个K8S节点。它会定期运行,因此您不能将其用于HA /关键用例。 问:是否会触发令人恐惧的弹性IP重新映射费用? 作为一个以省钱为目标的项目,肯定没有:)。实际上,它会尝试不这样...
SAML to AWS STS Keys Conversion-crx插件
04-02
使用SSO(SAML 2.0)登录到AWS Webconsole后,使用AWS STS密钥生成文件。 它利用了“ assumeRoleWithSAML” API。 Google Chrome扩展程序,它将SAML 2.0声明转换为AWS STS密钥(临时凭证-> AccessKeyId,Secret...
k8s-aws:用于在AWS上引导Kubernetes的kops包装器脚本
02-04
k8s-aws 这是一个kops包装器脚本,用于在AWS上创建Kubernetes集群并进行维护。 某些插件也已安装到新创建的集群中: 堆子 Kubernetes仪表板 Elasticsearch / Fluentd / Kibana(EFK)日志堆栈 监控堆栈 另外,还...
aws_role_credentials:使用STS生成角色的AWS凭证
05-19
使用STS为角色生成AWS凭证并将其写入`~/.aws/credentials` 用法 只需将SAML断言传递到awssaml中 # create credentials from saml assertion $ oktaauth -u jobloggs | aws_role_credentials saml --profile dev ...
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 7944
KubernetesService Account 是如何工作的
SpringBoot整合亚马逊S3
共同见证AI,未来一起成长
03-08 5387
一、效果展示 二、参考项 AWS S3(官网): Amazon S3 - 亚马逊云科技对象存储_云存储服务-亚马逊云科技中国区域 AWS SDK for Java(官网):Setting up the AWS SDK for Java 2.x - AWS SDK for Java 三、引入Pom文件 <!-- https://mvnrepository.com/artifact/com.amazonaws/aws-java-sdk-s3 --> <depen.
通过ServiceAccount创建eks集群的kubeconfig文件来绕过IAM鉴权
kingu_crimson的博客
05-26 1806
至此,我们通过创建 SA 的方式生成了包含其 Secret TOKEN的 kubeconfig 的文件,并且通过该文件访问 kube- APIserver 能够有效避开 IAM 鉴权,能够加强我们敲 kuebctl命令的体验,并且通过这种方式,也能够根据不同的 clusterrole & role 去生成不同的 kubeconfig 文件做权限的分发。建立 Amazon EKS 的 kubeconfig管理服务账号通过将多个 kubeconfig 文件合并为一个来进行K8S多集群统一管理。
AWS STS在region ap-east-1支持问题
Andy Tools
09-09 4250
原来一直没有用过香港区域STS 来签发临时授权令牌。然后近期开启了香港区域ap-east-1 然后进行测试发现通过STS签发的凭着获取S3中的文件抛出: The provided token is malformed or otherwise invalid 真的是相当的令人困惑。然后在东京区域 ap-northeast-1 建立了同样的存储桶,然后同样的代码去获取文件,就可以获取成功,让人不禁怀疑香港区域有点特殊。 ​ 最后知道翻到了 https://docs.aws.amazon.com/IAM/lat
aws联合用户_AWS STS凭证和Google Apps联合用户
weixin_26717681的博客
08-15 982
aws联合用户This write-up outlines methods of working with the AWS Secure Token Service (STS) and Federated user accounts, where Google has been established as the Identity Provider. It is based on a recen...
AWS亚马逊实战-(移动端直传S3)服务器端调用AWS STS生成用户临时凭证上传至S3
06-15 2506
最终效果: 为每个用户生成一个有效时间为yi xi临时的凭证,返回给移动端,移动端通过临时凭证,直传至S3。并且限制用户只能在自己的目录下操作。
AWS self host k8s
最新发布
08-17
AWS self host k8s是指在AWS上自行搭建和管理Kubernetes集群。为了创建一个admin用户并授予admin角色绑定,你可以使用提供的yaml文件。首先,使用该文件创建admin用户并赋予管理员权限。然后,你可以通过token登陆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值