EKS 训练营-IAM用户权限控制(5)

最新推荐文章于 2023-02-24 15:55:48 发布
最新推荐文章于 2023-02-24 15:55:48 发布
阅读量475 收藏
点赞数 1
文章标签: python java linux kubernetes 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzan18/article/details/118548935
版权

介绍

Role-based access control (RBAC)是一种细颗粒度的权限访问和控制方式。有兴趣的读者可以参考 K8s 关于RBAC的官方文档

1.如下是几个常用的概念:

  • 实体:Entity,包括 user / group / service account 等
  • 资源:Resource,包括 pod / service / secret 等
  • 角色:Role,操作资源和实体的 Rules 等
  • 角色绑定:Role Binding,把 Role 和 Entity 绑定使用。包括 Roles 和 ClusterRole 两类。
  • 命名空间:Namespace,主要用来定义安全边界和资源边界。

在这个动手实验中,我们将听过创建一个叫 rbac-user 的IAM用户来访问和使用EKS集群服务,给它配置的命名空间叫 rbac-test

2.部署测试Pod

使用如下方式创建一个测试用 Pod

kubectl create namespace rbac-test
kubectl create deploy nginx --image=nginx -n rbac-test

kubectl get all -n rbac-test

会返回类似如下的结果

NAME                         READY   STATUS              RESTARTS   AGE
pod/nginx-6799fc88d8-48x8k   0/1     ContainerCreating   0          1s

NAME                    READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/nginx   0/1     1            0           2s

NAME                               DESIRED   CURRENT   READY   AGE
replicaset.apps/nginx-6799fc88d8   1         1         0       2s

RBAC测试

1.创建IAM用户

创建用户

mkdir -p ~/environment/rbac && cd ~/environment/rbac
aws iam create-user --user-name rbac-user
aws iam create-access-key --user-name rbac-user | tee create_output.json

创建用户返回

{
    "User": {
        "Path": "/",
        "UserName": "rbac-user",
        "UserId": "AIDA5NAGHF6N43LTPEXA3",
        "Arn": "arn:aws:iam::921283538843:user/rbac-user",
        "CreateDate": "2021-05-21T10:03:22+00:00"
    }
}

创建key返回

{
    "AccessKey": {
        "UserName": "rbac-user",
        "AccessKeyId": "AKIA5NAGHF6N4QSQWTWO",
        "Status": "Active",
        "SecretAccessKey": "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",
        "CreateDate": "2021-05-21T10:03:24+00:00"
    }
}

管理切换用户的 Crendential

cd ~/environment/rbac

cat << EoF > rbacuser_creds.sh
export AWS_SECRET_ACCESS_KEY=$(jq -r .AccessKey.SecretAccessKey create_output.json)
export AWS_ACCESS_KEY_ID=$(jq -r .AccessKey.AccessKeyId create_output.json)
EoF

2.映射 IAM 用户到 K8s

使用 eksctl 创建,或者手动编辑

eksctl create iamidentitymapping \
  --cluster my-cluster \
  --arn arn:aws:iam::921283538843:user/rbac-user \
  --username rbac-user

查看 aws-auth 配置的映射情况

eksctl get iamidentitymapping \
  --cluster my-cluster \
  --region eu-west-1 \
  --arn arn:aws:iam::921283538843:user/rbac-user

显示结果如下

ARN                                             USERNAME        GROUPS
arn:aws:iam::921283538843:user/rbac-user        rbac-user

3.IAM用户测试

执行脚本并获得 sts 配置信息

cd ~/environment/rbac
. rbacuser_creds.sh
aws sts get-caller-identity

返回类似如下信息

{
    "UserId": "AIDA5NAGHF6N43LTPEXA3",
    "Account": "921283538843",
    "Arn": "arn:aws:iam::921283538843:user/rbac-user"
}

此时如果我们去查询会返回错误(因为我们还创建Role和绑定,所以不能访问集群中的资源)

kubectl get pods -n rbac-test

如下

Error from server (Forbidden): pods is forbidden: User "rbac-user" cannot list resource "pods" in API group "" in the namespace "rbac-test"

4.创建 Role 并 Binding

重设 sts:

unset AWS_SECRET_ACCESS_KEY
unset AWS_ACCESS_KEY_ID
aws sts get-caller-identity

会返回正常的sts(没有rbac-user的)

{
    "UserId": "AROA5NAGHF6NUMSLJ7TLA:i-0bfe140c9ab80a6dc",
    "Account": "921283538843",
    "Arn": "arn:aws:sts::921283538843:assumed-role/FullAcce***oleForCloud9/i-0bfe140c9ab80a6dc"
}

创建 Role 定义

cd ~/environment/rbac
cat << EoF > rbacuser-role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: rbac-test
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["list","get","watch"]
- apiGroups: ["extensions","apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch"]
EoF

创建 Binding 定义

cd ~/environment/rbac
cat << EoF > rbacuser-role-binding.yaml
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: rbac-test
subjects:
- kind: User
  name: rbac-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
EoF

应用绑定

cd ~/environment/rbac
kubectl apply -f rbacuser-role.yaml
kubectl apply -f rbacuser-role-binding.yaml

5.验证 Role 和 Binding

用如下方式验证

cd ~/environment/rbac
. rbacuser_creds.sh
aws sts get-caller-identity
kubectl get pods -n rbac-test

执行成功

wangzan:~/environment/rbac $ kubectl get pods -n rbac-test
NAME                     READY   STATUS    RESTARTS   AGE
nginx-6799fc88d8-48x8k   1/1     Running   0          12m

此时,我们在尝试一个别的:

kubectl get pods -n kube-system

会报错

Error from server (Forbidden): pods is forbidden: User "rbac-user" cannot list resource "pods" in API group "" in the namespace "kube-system"

原因是,我们没有在 Role 和 Binding 里面对别的 namespace 授权。

清理环境

当你不需要 rbac 的时候,可以通过如下方式删除

unset AWS_SECRET_ACCESS_KEY
unset AWS_ACCESS_KEY_ID

kubectl delete namespace rbac-test
aws iam delete-access-key --user-name=rbac-user --access-key-id=$(jq -r .AccessKey.AccessKeyId create_output.json)
aws iam delete-user --user-name rbac-user

删除 rbac-user 在 configMap 里面的配置(修改 aws-auth的 data 里面的 mapUsers 部分)

eksctl delete iamidentitymapping --cluster my-cluster --arn arn:aws:iam::921283538843:user/rbac-user

欢迎大家扫码关注,获取更多信息

wzlinux
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
aws ec2的iam role深度解析
blogzhoubo的博客
06-27 4962
Aws ec2 iam role   访问aws的各种service api的时候,都要先进行身份认证,有下面几种情况。 1.通过aws console web界面访问 用户名,口令,MFA(可选)   2.aws cli  需要在~/.aws目录下的credentials文件里面配置 aws_access_key_id aws_secret_access_key   3....
AWS EKS使用RBAC授权IAM实体访问集群
weixin_41335923的博客
11-17 591
目录一、RBAC是什么?二、将IAM实体映射到K8S集群三、创建Role和RoleBinding四、测试五、总结参考 一、RBAC是什么? 基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对 计算机或网络资源的访问的方法。 RBAC 鉴权机制使用 rbac.authorization.k8s.io API 组 来驱动鉴权决定,允许你通过 Kubernetes API 动态配置策略。 RBAC 的核心逻辑组件是: 实体 组、用户或服务帐户(代表想要执行某些操作(动作)并需要权限
华为云IAM权限分配
l2x1314258的博客
07-22 687
1、进入IAM管理面板 2、选择权限菜单,点击右上角自定义策略 3、如下:示例管理RDS数据库权限 管理RDS需要两个权限,一个是RDS,一个是DAS,如下图可以分配一些权限,如果你只是想让他看,就选列表,保存。 4、到用户组里面新建用户组,然后点击权限配置 5、到用户里面新建个用户,绑定到这个组上面,大功告成 ...
IAM:亚马逊访问权限控制
weixin_30323961的博客
04-01 1676
IAM的策略。用户->服务器(仓库、业务体) IAM:亚马逊访问权限控制(AWS Identity and Access Management )IAM使您能够安全地控制用户对 AWS 服务和资源的访问。您可以使用 IAM 来创建和管理 AWS 用户和群组,并使用各种权限来允许或拒绝他们使用 AWS 资源。 什么是 IAM?AWS Identity and Access Manageme...
查看AWS中Identity and Access Management(IAM)的Access Key和Secret Access
AI架构师易筋
11-07 1500
1. 在Services 中搜索 iam, 并选择 Identity and Access Management(IAM) 2. 选择左侧栏Users,右侧列表选择自己的用户名链接 3. 切换tab到Security credentials > Create access key 4. 下载.csv 保存 Access key ID 和 Secret access key. 注意:下次就看不到了。 ...
amazon-eks-pod-identity-webhook:Amazon EKS Pod身份Webhook
05-07
该webhook用于更改需要AWS IAM访问权限的Pod。 EKS演练 在IAM中为您的群集。 您可以通过描述您的EKS集群来找到OIDC发现端点。 aws eks describe-cluster --name $CLUSTER_NAME --query cluster.identity.oidc 并...
aws-iam-authenticator:一种使用AWS IAM凭证对Kubernetes集群进行身份验证的工具
01-30
适用于Kubernetes的AWS IAM Authenticator 使用AWS IAM凭证对Kubernetes集群进行身份验证的工具。 该工具的最初工作是由Heptio驱动的。 该项目得到了多个社区工程师的贡献,目前由Heptio和Amazon EKS OSS工程师进行...
amazon-eks-irsa-cfn:适用于EKS服务帐户的IAM角色的AWS CloudFormation和CDK构造库
05-13
服务帐户CDK / CloudFormation库的Amazon ...CDK构造库用法如下所示将构造库安装到您的TypeScript项目中:npm install amazon-eks-irsa-cfn 在您的源代码中,导入Construct类: import { Role , OIDCIdentityProvider
eks-workshop-sample-api-service-go:EKS Workshop CICD CodePipeline模块中使用的示例Kubernetes服务
02-17
eks-workshop-sample-api-service-go CI / CD管道模块中使用的示例Kubernetes服务。 Dockerfile是一个构建,可编译Go应用程序,然后将其打包到一个的最小映像中。 该Docker映像的大小约为3.2 MiB。 buildspec.yml...
eks-distro-build-tooling:此存储库包含用于构建EKS Distro的工具,以及https:github.comawseks-distro中包含的所有项目。
02-18
eks-distro-base包含一个Dockerfile,用于构建最新的Amazon Linux 2基本映像。 只要基础映像中包含RPM的任何安全更新,就会更新该基础。 舵图 helm-charts目录包含用于操作Prow并支持Prow EKS集群上的工具的图表。 ...
【应用安全】什么是身份和访问管理 (IAM)?
全网:架构师研究会
08-21 1358
身份和访问管理 (IAM) 是一个安全框架,可帮助组织识别网络用户控制其职责和访问权限,以及授予或拒绝权限的场景。IAM 通常指的是授权和身份验证功能,例如:单点登录 (SSO),因此您可以让用户能够使用一组凭据进行一次登录,从而获得对多个服务和资源的访问权限多因素身份验证 (MFA),因此您可以通过要求用户提供两个或更多因素作为身份证明来获得更高级别的用户身份保证访问管理,因此您可以确保只有...
AWS eks 用户授权
gnufre的专栏
02-24 1240
国内使用阿里云惯了,点点就可以完成大部分的工作,国外的AWS 大都是命令行操作,且权限设置的特别细,在创建集群后,给用户授权的工作中走了很多弯路,特记录一下。
EKS 训练-存储卷 EBS(10)
wangzan18的博客
06-18 689
# 介绍 默认部署出来的 Pod 都是无状态的,pod 消亡里面的所有内容自动消亡,针对例如数据库场景(如 MySQL),这显然行不通。本章动手实验内容,我们以 Amazon EBS(Elastic Block Store)为例,演示如何在 Pod 里面把数据写入到 EBS 上,作为持久化存储( [PersisitentVolume](https://kubernetes.io/docs/con...
AWS EKS 创建k8s生产环境实例
sinat_40572875的博客
11-23 510
AWS EKS 创建k8s生产环境实例。
k8s查看pod日志报错 Error from server (Forbidden)
Jerry00713的博客
07-19 5448
这个错误是说kube-apiserver这个用户没有权限查看日志,我们要给这个用户一个admin的角色权限就好了。查看pod日志时,报权限错误。二进制搭建的k8s集群。
AWS简单搭建使用EKS
saynaihe的博客
02-14 1387
海外服务合作方服务器部署在新加坡AWS,然后就顺便使用了一下AWS上面的各项服务。最近要给合作方写交付文档,就顺便写一下相关服务的简单使用,并没有太深入,因为所有环境搭建基本都是速成流程,小公司说上就上,没有时间深入研究积累,且主要服务环境都运行在国外腾讯云and阿里云。下面是一些流程的演示! 注意:演示流程搭建在aws北京区,故很多arn:aws-cn会,请注意各项区别!以下操作区域都默认为北京。在个人各项操作中请确认操作区域!注: 如果已有VPC并且vpc符合使用需求可以忽略这一步。aws官方文档:ht
设置IAM用户权限允许访问特定S3的bucket或者目录
王飞Vincent-Fei的AWS专栏
03-12 9324
通过设置IAM用户权限,可以限制IAM用户访问特定的S3 bucket或者目录的权限。 (1) case1:只允许IAM用户通过API或者s3cmd命令行工具访问特定S3 bucket { "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket" ], "Resource": [
IAM(身份验证以及访问控制)
weixin_34204057的博客
02-28 4359
1.简述 IAM(IDENTITY & ACCESS MANAGEMENT),身份验证以及访问控制,一种对资源提供可控安全的访问解决方案,现在的公有云基本都支持IAM来对公有云资源提供授权访问,各大云厂商命名可能不一致,如阿里称为RAM (Resource Access Management),但所支持功能基本都是一样.概况来说I...
使用托管节点组结合启动模板简化Amazon EKS升级与运维
亚马逊云科技专栏
09-02 801
背景随着应用容器化不断流行与深入,采用Kubernetes(K8S)作为容器编排方式的应用也随之增加。作为亚马逊云科技的用户,在云上使用Amazon Web Services托管的K8S服...
windows中aws-cli如何连接多个EKS集群?
最新发布
05-10
aws eks update-kubeconfig --name eks-cluster-1 --region us-west-2 --profile my-aws-profile-1 aws eks update-kubeconfig --name eks-cluster-2 --region us-west-2 --profile my-aws-profile-2 ``` 其中,`--...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值