[AWS-EKS-IAM](https://res.cloudinary.com/practicaldev/image/fetch/s--ur3_A_v9--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_880/https://dev -to-uploads.s3.amazonaws.com/uploads/articles/3ix10ze6s42rs6omzhux.jpeg)

从基础开始:

AWS Identity and Access Management (IAM) 提供跨整个 AWS 的细粒度访问控制。借助 IAM,您可以指定谁可以访问哪些服务和资源,以及在哪些条件下。

AWS Single Sign-On (AWS SSO) 是一种云服务,允许您授予用户跨多个 AWS 账户访问 AWS 资源(例如 Amazon EC2 实例)的权限

Amazon Elastic Kubernetes Service (Amazon EKS) 是一项托管服务,您可以使用它在 AWS 上运行 Kubernetes,而无需安装、操作和维护您自己的 Kubernetes 控制平面或节点。

基于角色的访问控制 (RBAC) 是一种基于企业内个人用户的角色来限制网络访问的方法。

对 Kubernetes 集群的身份验证

Amazon EKS 使用 IAM 为您的 Kubernetes 集群](https://docs.aws.amazon.com/eks/latest/userguide/cluster-auth.html)提供[身份验证(通过 AWS CLI 1.16.156 或更高版本中可用的 aws eks get-token 命令,或适用于 Kubernetes 的 AWS IAM Authenticator),但它仍然依赖在本地 Kubernetes 基于角色的访问控制 (RBAC) 上进行授权。

[RBAC](https://res.cloudinary.com/practicaldev/image/fetch/s--_SB896KP--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_880/https://dev-to-uploads .s3.amazonaws.com/uploads/articles/kvvi6yut4j9eusy2zuzr.png)

以下内容应该可以帮助您使用 SSO 配置 AWS EKS:

  • 确保集群管理员或有权运行 kubectl 命令的任何人将 SSO 角色添加到 aws-auth ConfigMap(这用于管理集群上的访问):
 kubectl create configmap my-config-aws-auth --from-file=path/to/file/aws-auth.properties

进入全屏模式 退出全屏模式

文件“aws-auth.properties”看起来像这样

apiVersion: v1 
kind: ConfigMap 
metadata: 
  name: aws-auth 
  namespace: kube-system 
data: 
  mapRoles: | 
    - rolearn: arn:aws:iam::11122223333:role/EKS-DevOpsAdmin 
      username: system:node:{{EC2PrivateDNSName}} 
      groups: 
        - system:bootstrappers 
        - system:nodes 
  mapUsers: | 
    - userarn: arn:aws:iam::11122223333:user/designated_user 
      username: designated_user 
      groups: 
        - system:masters

进入全屏模式 退出全屏模式

  • 确保您从 CLI/Shell/CMD 登录到 SSO 角色。运行 ($ 'aws sts get-caller-identity' ) 以验证

  • 如果您不确定如何登录 SSO 角色,请参阅此配置 AWS CLI 以使用 AWS Single Sign-On。基本上你需要运行aws sso login

  • 确保 SSO 角色有权在您要连接的集群上运行 eks:DescribeCluster。

  • 您可以使用AWS Policy Generator工具来创建控制对 Amazon Web Services (AWS) 产品和资源的访问的策略。

对于最低权限,请使用以下 IAM 政策:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EKSDescribeClusterPolicy",
      "Action": [
        "eks:DescribeCluster"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

进入全屏模式 退出全屏模式

要管理整个 AWS EKS 服务,您可以使用 AdministratorAccess 角色或 EKS 特定的管理策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "EKSAdminPolicy",
      "Action": "eks:*",
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

进入全屏模式 退出全屏模式

  • 配置 kubectl 以便您可以连接到 Amazon EKS 集群:$aws eks update-kubeconfig --name cluster_name这会在/home/user/.kube/config中创建 kubeconfig,并且 kubeconfig 内部还有 aws eks get token 命令

上述说明适用于现有集群,您应该能够一一使用它们,以便通过 SSO 保护 AWS EKS 的人工身份和访问管理。

如果您有任何问题或反馈,请告诉我

# aws # devops
Logo
CI/CD

CI/CD社区为您提供最前沿的新闻资讯和知识内容

更多推荐

Jenkins环境变量、参数及groovy脚本使用介绍。

这是系列中的第三篇文章 使用 Jenkins 将 Django 应用程序部署到 AWS EC2 实例。 Jenkins的温和指南。 在本文中,我们将介绍如何在 Jenkins 中使用变量和参数以及如何使用 groovy 脚本。我们将使用与以前相同的项目。您需要事先阅读过之前的文章。 1.如何在 JenkinsFile 中配置和使用变量。 在编写 JenkinsFile 管道脚本时,您可能需要注入和

avatar CI/CD

Rust 中的 OpenTelemetry 分布式跟踪指南

在本文中,我将分享我将 OpenTelemetry 分布式跟踪添加到 Rust 应用程序的经验。 我将尝试回答以下问题: 如何在 Rust 中检测 Opentelemetry? 如何在 Rust 应用程序中添加手动和自动检测? 如何使用tracing来调试Rust应用? 如何可视化跟踪和跨度? 如何在多线程环境中保存我们的 span 上下文? 在 Rust 中进行跟踪时,你必须知道哪些 crat

avatar CI/CD

Jenkins 管道,用于构建 Django 映像并将其推送到 dockerhub 和 GitHub webhook 集成。

这是系列文章的第四篇 使用 Jenkins 将 Django 应用程序部署到 AWS EC2 实例。詹金斯的温和指南。 在本文中,您将拼凑您所学的所有基础知识,并构建一个完整的 Jenkins 管道,该管道将构建 Django 映像并将其部署到 Dockerhub。您需要事先阅读过之前的文章 1.添加 init 阶段并加载script.groovy文件。 在您的 JenkinsFile 中,添加加

avatar CI/CD