在2023 年 11 月之前,管理 Amazon EKS 集群中管理权限的方式是通过配置集群 kube-system 命名空间中名为 aws-auth 的 ConfigMap,该 ConfigMap 负责将 AWS IAM 身份映射到 Kubernetes 基于角色的访问控制(RBAC)授权从而控制对集群资源的访问。aws-auth ConfigMap 是在创建 Amazon EKS 集群时自动创建的,而且集群创建...
如果您已將項目新增至叢集 aws-auth ConfigMap 上的 ,建議您為 aws-auth 中的現有項目建立存取項目 ConfigMap 。建立存取項目後,您可以從 ConfigMap 中移除對應項目。您無法將 存取政策 與 aws-auth 中的項目建立關聯 ConfigMap 。如果您想要將存取政策與IAM主體建立關聯
} # aws-auth configmap # manage_aws_auth_configmap = false # create_aws_auth_configmap = false # aws_auth_roles = [ # { # rolearn = var.rolearn # username = "cloudsway" # groups = ["system:masters"] # }, # ] tags = { env = "dev" terraform = "true" Owner = "cloudsway"...
To verify that the aws-auth ConfigMap is configured correctly: Retrieve the mapped roles in the aws-auth ConfigMap. $ kubectl get configmap -n kube-system aws-auth -o yaml Verify that the roleARN is configured as follows. rolearn: arn:aws:iam::aws_account_number:role/AWSServiceRoleForBatch...
添加到aws-authconfigmapdeveloper用户 ARN。 kubectl edit-n kube-system configmap/aws-auth...mapUsers:|-userarn:arn:aws:iam::424432388155:user/developer username:developer groups:-reader... 为developer用户配置 kubectl 上下文 aws eks --region us-east-1 update-kubeconfig --name eks --profile devel...
使用aws-auth ConfigMap 将 IAM 用户或角色映射到 RBAC 角色和组 {{< notice info "重要提示:" >}} 在连接 Amazon EKS API 服务器之前,安装并配置最新版本的 AWS CLI。 获取AWS CLI 用户或角色的配置: copy aws stsget-caller-identity 输出将返回 IAM 用户或角色的 Amazon 资源名称 (ARN)。例如: ...
名为aws-auth ConfigMap 中指定的 group。 EKS集群初始化的时候,会初始化一个aws-auth的configMap,只有这个configMap包含的IAM实体才有真正的K8S API访问权限(创建集群的IAM实体除外)。这个权限控制由上图中的 [AWS IAM Authenticator Server]来实现。 OpenID connect tokens ...
至每个集群的访问权由aws-auth ConfigMap进行控制,该文件将 IAM 用户/角色映射到 Kubernetes RBAC 组。在来自Jetstack的 Josh Van Leeuwen 发表的客座博文中,我们将讨论如何使用多个开源项目跨多个集群对 GitHub 等 OIDC 提供商进行用户身份验证。 Kube-OIDC-Proxy是Jetstack开发的开源反向代理,可以为各...
由于我们之前没有k8s集群,因此这里Jenkins我们还是使用之前部署在云主机上的Jenkins(不在k8s集群中),首先需要修改aws-auth ConfigMap,如下: 代码语言:javascript 复制 kubectl edit configmap-n kube-system aws-auth 需要在aws-auth ConfigMap中增加红框中的内容,其中rolearn是Jenkins Slave节点上的role。
ConfigMap aws-auth 在我们在向 EKS 添加 node 时就自动创建了,它的作用是允许 node 加入集群。 aws-auth 的另一个作用是控制 AWS 用户或者 role 访问 K8s 内部的资源(准确的说是把外部 IAM 用户与 K8s 内部用户做映射)。 我们继续利用《创建 AWS EKS 集群》一文中创建的 EKS 环境。