EKS 训练营-IRSA(6)

最新推荐文章于 2022-06-10 18:18:01 发布
最新推荐文章于 2022-06-10 18:18:01 发布
阅读量317 收藏
点赞数
文章标签: java python docker 数据库 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzan18/article/details/118549506
版权

介绍

【说明】:支持 K8s 1.12 以上的版本。AWS 的 eks 通过一个公开的 OIDC(Open ID Connect Provider)支持细粒度的权限管理和控制(在OIDC里面,通过 STS 去 take IAM Role 来实现)。

有关 EKS IRSA 实现原理,请参考我的博文 https://blog.51cto.com/wzlinux/2463715

创建和配置 IAM 角色

我们用 AmazonS3ReadOnlyAccess 作为这个动手实验的例子,我们要附加一个 “AmazonS3ReadOnlyAccess” 的 aws 管理的 policy 给 iamserviceaccount。

1.创建IAM Role

创建IAM Role并绑定

eksctl create iamserviceaccount \
    --name iam-test \
    --namespace default \
    --cluster my-cluster \
    --attach-policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess \
    --approve \
    --override-existing-serviceaccounts

2.确认关联IAM Role和Service Account

此处我们确认之前的步骤已经完成:

kubectl get sa iam-test

查看详细内容

kubectl describe sa iam-test

确认结果如下:

Name:                iam-test
Namespace:           default
Labels:              app.kubernetes.io/managed-by=eksctl
Annotations:         eks.amazonaws.com/role-arn: arn:aws:iam::921283538843:role/eksctl-my-cluster-addon-iamserviceaccount-de-Role1-1NV2KI61Y2NX
Image pull secrets:  <none>
Mountable secrets:   iam-test-token-fjn6s
Tokens:              iam-test-token-fjn6s
Events:              <none>

部署Pod测试

我们将进行两项测试

  • job-s3.yaml,将返回执行 aws s3 ls 的结果,这个执行将成功
  • job-ec2.yaml,将返回执行 aws ec2 describe-instances --region ${AWS_REGION} 的结果,这个执行将失败,因为我们没有授权

1.测试列出S3存储桶

代码如下

mkdir -p ~/environment/iam-sa/ &amp;&amp; cd ~/environment/iam-sa/

cat &lt;<eof> job-s3.yaml
apiVersion: batch/v1
kind: Job
metadata:
  name: eks-iam-test-s3
spec:
  template:
    metadata:
      labels:
        app: eks-iam-test-s3
    spec:
      serviceAccountName: iam-test
      containers:
      - name: eks-iam-test
        image: amazon/aws-cli:latest
        args: ["s3", "ls"]
      restartPolicy: Never
EoF

kubectl apply -f job-s3.yaml
kubectl get job -l app=eks-iam-test-s3

查询执行状态(成功)

NAME              COMPLETIONS   DURATION   AGE
eks-iam-test-s3   1/1           11s        26s

跟踪日志

kubectl logs -l app=eks-iam-test-s3

会发现类似如下的内容(S3桶列表)

2019-10-15 07:44:15 wz-audios
2020-11-05 04:37:19 wzlinux-datalake
2020-08-14 06:40:34 wzlinux-resized-images
2020-09-02 12:15:30 wzlinux-translated-input-bucket
2020-09-02 12:14:42 wzlinux-translated-output-bucket
2020-08-14 06:29:38 wzlinx-image-resizing-de-serverlessdeploymentbuck-1nab7m0ka5ouk

2.测试列出EC2

代码如下

cd ~/environment/iam-sa

cat &lt;<eof> job-ec2.yaml
apiVersion: batch/v1
kind: Job
metadata:
  name: eks-iam-test-ec2
spec:
  template:
    metadata:
      labels:
        app: eks-iam-test-ec2
    spec:
      serviceAccountName: iam-test
      containers:
      - name: eks-iam-test
        image: amazon/aws-cli:latest
        args: ["ec2", "describe-instances", "--region", "eu-west-1"]
      restartPolicy: Never
  backoffLimit: 0
EoF

kubectl apply -f job-ec2.yaml
kubectl get job -l app=eks-iam-test-ec2

查询执行状态(会一直卡在这里,不会执行成功的,因为没有权限)

NAME               COMPLETIONS   DURATION   AGE
eks-iam-test-ec2   0/1           26s        26s

通过跟踪日志

kubectl logs -l app=eks-iam-test-ec2

我们会发现报错如下

An error occurred (UnauthorizedOperation) when calling the DescribeInstances operation: You are not authorized to perform this operation.

清理环境

当你不需要时候,可以通过如下方式删除此环境

cd ~/environment/iam-sa

kubectl delete -f job-s3.yaml
kubectl delete -f job-ec2.yaml

eksctl delete iamserviceaccount \
    --name iam-test \
    --namespace default \
    --cluster my-cluster \
    --wait

欢迎大家扫码关注,获取更多信息

</none
wzlinux
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
amazon-eks-pod-identity-webhook:Amazon EKS Pod身份Webhook
05-07
Amazon EKS Pod身份Webhook 该webhook用于更改需要AWS IAM访问权限的Pod。 EKS演练 在IAM中为您的群集。 您可以通过描述您的EKS集群来找到OIDC发现端点。 aws eks describe-cluster --name $CLUSTER_NAME --query ...
eks-node-api
02-20
"eks-node-api" 是一个基于JavaScript的项目,很可能与Amazon Elastic Kubernetes Service (EKS)的节点管理API有关。EKS是AWS提供的一个完全托管的Kubernetes服务,它允许用户在AWS云中部署、运行和扩展容器化应用...
如何深入理解 EKS IRSA 的实现机制
wangzan18的博客
01-02 975
一、aws-iam-token 的生成 1.1 token 生成 我们这里使用的 AWS 完全管理的 K8s 集群 EKS,并且通过如下命令创建了 iamserviceaccount [1]。 eksctl create iamserviceaccount --name alice --namespace default \ --cluster eks --attach-policy-arn ar...
ServerLess Aws Lambda攻击方法研究的副本
weixin_40418457的博客
06-10 250
前言 1、这篇文章讲了什么? 文本围绕三个问题 1、lambda会遇到什么攻击场景 2、什么情况下,在lambda中读取到的env环境变量密钥可以让我们接管服务器甚至整个账号 3、什么情况下,可以通过lambda权限去横向到其他的EC2服务器 本文会对这三个问题进行解答,并且进行演示 2、什么是ServerLess和Lambda Serverless,即无服务器计算。然而Serverless不是不再需要服务器,而是公司或开发者不用过多考虑服务器的问题,计算资源仅作为一种服务而不再以物理硬件的形式出现。 为
EKS 训练营-暴露服务(8)
wangzan18的博客
06-15 538
# 介绍 本章节我们演示如何暴露服务给外部终端用户访问。 # 准备和验证 ## 1.准备配置文件 ```yaml mkdir -p ~/environment/expose && cd ~/environment/expose cat < run-my-nginx.yaml apiVersion: apps/v1 kind: Deployment metadata:...
解决方法:An error occurred on the server when processing the URL. Please contact the system administrato
09-16 939
在WINDOWS7或SERVER2008上安装了IIS7.5,调试ASP程序时出现以下错误:     An error occurred on the server when processing the URL. Please contact the system adm
eks-od-data:通过eks-od-harvestrer获得的数据
02-23
从portal.eks.sk(EKS)打开数据 此存储库包含从portal.eks.sk(EKS)或eks-od-harvestrer( )的开放数据获得的数据。
PyPI 官网下载 | eks-spot-blocks-0.2.97.tar.gz
01-31
《PyPI与eks-spot-blocks-0.2.97:Python在云原生环境中的分布式解决方案》 PyPI(Python Package Index)是Python开发者的重要资源库,它为全球的Python程序员提供了海量的第三方模块和库,使得开发变得更加便捷...
PyPI 官网下载 | eks-node-migrator-1.0.5.tar.gz
01-27
标题中的“PyPI 官网下载 | eks-node-migrator-1.0.5.tar.gz”揭示了这个压缩包文件来源于Python Package Index(PyPI),这是Python开发者分享和下载自己创建的软件包的一个官方平台。eks-node-migrator是这个...
amazon-eks-irsa-cfn:适用于EKS服务帐户的IAM角色的AWS CloudFormation和CDK构造库
05-13
服务帐户CDK / CloudFormation库的Amazon EKS IAM角色 该存储库包含一个 ,该创建一个可以假定的。 该角色称为IRSA或。 该角色可以与您在同一CloudFormation堆栈中创建的集群相关联。 或者,可以在不同的堆栈中创建EKS群集,并按名称引用。 为了易于实施,此存储库还包含一个库,您可以导入该库并使用它轻松创建角色。 这是构建角色的最快,最编程的方式。 另外,您还可以使用SAM模板,将自定义资源Lambda函数部署到您的帐户,并在YAML或JSON CloudFormation模板中进行引用。 CDK构造库用法 如下所示将构造库安装到您的TypeScript项目中: npm install amazon-eks-irsa-cfn 在您的源代码中,导入Construct类: import { Role , OIDCIdentityProvider
限制AccessKey使用范围的source ip
王飞Vincent-Fei的AWS专栏
03-13 1398
有时候我们需要限制一下某些权限较高的用户使用权限的方式,来增强安全性。 我给个方案,可使AWS管理员的权限使用起来更安全: (1)创建用户wangfei,不要AccessKey,管理员权限,设置密码(设置了密码才能web console登录),只用作浏览器操作,然后使用MFA绑定手机,这样可以在任何地点用web console来操作,绑定了手机验证登录,而且还没有AccessKey,比较安全。
AWSCLI安装及使用
weixin_33836223的博客
08-12 662
#69 Amazon AWS Command Line Interface MARCH 10, 2015 Post Views:949 In this post I’ll explain how to install and use AWS CLI. It will be a basic document tha...
Localstack 异常 An error occurred (InvalidClientTokenId) when calling the xx
silangfeilang的博客
03-01 1640
Localstack 执行aws 命令,错误 An error occurred InvalidClientTokenId when calling the DescribeClusters operation: The security token included in the request is invali异常:An error occurred (InvalidClientTokenId) when calling the DescribeClusters operation: The secu
异常:An error occurred (UnrecognizedClientException) when calling the UpdateTimeToLive operation
Merlin的博客
11-20 2118
当我创建dynamodb表时出现这个异常:An error occurred (UnrecognizedClientException) when calling the UpdateTimeToLive operation: The security token included in the request is invalid 创建表的语句是 aws dynamodb create-table \ --table-name activity \ --attribute-definiti
svn: E170001报错的原因以及解决方案
热门推荐
12-18 9万+
1. 什么问题What?使用Jenkins配置的svn拉取项目,Jenkins报错:svn: E170001,经过查阅资源,该问题是由于svn的账户名和密码没有权限。重新换一个有权限的Svn账号,还是出现此问题。具体问题如下:Started by user xxx(xxx) Building in workspace /home/working/.jenkins/xxx/test_auto Chec
Kubernetes安全地访问AWS服务,告诉你多云场景下如何管理云凭据!
CSDN云计算
02-25 5094
作者|Alexey Ledenev翻译 | 天道酬勤,责编 |Carol出品 | CSDN云计算(ID:CSDNcloud)随着企业与各种云提供商合作,多云场景已经变得十分常见。在谷...
aws eks update-kubeconfig --region region-code --name my-cluster含义
最新发布
04-20
这是一个 AWS 命令行工具(AWS CLI)命令,用于更新 Kubernetes 集群的配置文件,以便在使用该集群时进行身份验证和授权。其中,--region 参数需要替换为所在区域的代码,--name 参数需要替换为 Kubernetes 集群的名称。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值