尝试使用 AWS EKS 集群的 rbac 限制 IAM 用户。从 kube-system 命名空间错误地更新了配置映射“aws-auth”。这删除了对 EKS 集群的完全访问权限。
未能在配置映射中为用户添加 组:。
尝试为配置映射中最后提到的用户/角色提供完整的管理员访问权限,但没有成功。
任何恢复对集群的访问权限的想法都非常值得赞赏。
config-map.yaml:
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: kube-system
data:
mapUsers: |
- userarn: arn:aws:iam::1234567:user/test-user
username: test-user
【问题讨论】:
标签: amazon-web-services kubernetes rbac amazon-eks configmap
解决了这个问题:
由于默认情况下创建 EKS 集群的 IAM 用户拥有对集群的完全访问权限,尽管有 aws-auth configmap。由于创建的 IAM 用户已被删除,因此我们重新创建了 IAM 用户,因为它具有相同的 arn(如果创建的 IAM 用户与之前的名称相同)。
一旦为用户创建了用户凭证(访问和密钥),我们就可以重新访问 EKS 集群。之后,我们根据需要修改了 config-map。
【讨论】:
我会尝试的第一件事是恢复原始的aws-auth ConfigMap(你可以找到它here):
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: kube-system
data:
mapRoles: |
- rolearn: <ARN of instance role (not instance profile)>
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
将 rolearn 的占位符替换为与您的工作程序节点关联的 IAM 角色的 ARN,如 EKS documentation 中所述。
当集群再次工作时,您可以再次将 IAM 用户添加到 ConfigMap,这在EKS docs 中也有描述。
【讨论】:
docker exec -ti <container> bash) , 并检索 /var/run/secrets/kubernetes.io/serviceaccount/token 中的 ServiceAccount 令牌。然后,您可以使用此令牌通过 kubectl 从本地计算机访问集群。