Добавление группы IAM в конфигурационную карту aws-auth в AWS EKS

aws-auth configmap в AWS EKS выполняет сопоставление между пользователями / ролями IAM и ролями RBAC кубернетов. Однако в документации ничего не говорится о добавлении групп IAM в конфигурационную карту.

Мы используем несколько пространств имен, каждое из которых управляется отдельной командой. Я создал набор ролей RBAC kubernetes, ограниченных различными пространствами имен. Теперь я хочу дать каждому члену группы IAM эту особую роль.

Можно ли добавить группы IAM в конфигурационную карту aws-auth? Если нет, то каким будет предлагаемое решение? Создать роль IAM для каждой группы и разрешить только членам группы IAM принимать эту роль?


kubernetes amazon-eks amazon-web-services amazon-iam
person Blokje5    schedule 01.04.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете посмотреть здесь.

TL; DR
1. Создайте роль, которая разрешает полный доступ к API.
2. Создайте RoleBinding для этой роли в целевом пространстве имен с именем apiGroup в качестве subjects.
3. Добавьте запись для вашего пользователя IAM в aws-auth ConfigMap, чтобы добавить mapUser в указанную выше группу apiGroup.

Надеюсь это поможет!

person Frank Yucheng Gu    schedule 01.04.2019
comment
Спасибо за ваш ответ, однако у меня есть RoleBindings с именованной группой в пространствах имен. Однако мне интересно, могу ли я вместо добавления отдельных пользователей IAM добавить группу IAM в ConfigMap aws-auth. Смогу ли я указать группу IAM arn в разделе mapUSer? - person Blokje5; 01.04.2019
comment
@ Blokje5 Я также хотел бы знать, могу ли я добавить группу IAM в конфигурационную карту was-auth. При удаче? - person Squirrel; 16.05.2019
comment
@Squirrel еще нет, теперь я решаю это ролями. Не идеально, но подходит для наших сценариев использования. - person Blokje5; 17.05.2019
comment
@ Blokje5 Я тоже пробую ролевой подход, но не могу заставить его работать. Я разместил здесь повторяющийся вопрос с дополнительным контекстом: stackoverflow.com/q/62262710/1466456. Вы придерживались того же подхода? Спасибо! - person Jaanus Varus; 08.06.2020
comment
Вы можете добавлять роли только в конфигурационную карту aws-auth - person Chris F; 11.03.2021