nam*_*ata 5 amazon-web-services eks
我已经使用集群AWS控制台创建的EKS,同时创造我用我的预创建的VPC和子网的集群中,我创建了一个角色eks-role,其具有AmazonEKSClusterPolicy与AmazonEKSServicePolicy连接到它。
我已kubeconfig使用以下文件添加了文件:
aws eks update-kubeconfig --name eks-cluster --role-arn "arn:aws:iam::############:role/eks-role"
当我使用kubectl get svc命令时,出现以下错误:
调用AssumeRole操作时发生错误(AccessDenied):访问被拒绝
我不知道这可能是什么问题。
在我的用户中,我添加了以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::############:role/eks-role"
}
]
}
在角色中,我添加了信任关系:
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::############:user/test"
},
"Action": "sts:AssumeRole"
}
]
}
我的~/.aws/credentials文件如下所示:
**[default]**
aws_access_key_id = ##############
aws_secret_access_key = #############################
region=us-west-1
**[test]**
aws_access_key_id = ###########
aws_secret_access_key = #############################
region=ap-southeast-1
**[eks]**
role_arn = arn:aws:iam::##########:role/eks-role
source_profile = test
Jat*_*tin 13
我确信问题已经解决,但我会在这里提供更多信息,所以如果其他人仍然面临这个问题,那么他们可能不会像我一样浪费时间并使用这些步骤。
当我们通过 CloudFormation/CLI/EKSCTL 以任何方法创建 EKS 集群时,创建集群的 IAM 角色/用户将自动绑定到默认的 kubernetes RBAC API 组system:masters( https://kubernetes.io/docs/reference/access-authn -authz/rbac/#user-looking-roles),这样集群的创建者将获得集群的管理员访问权限。尽管我们始终可以使用 aws-auth 文件授予对其他 IAM 用户/角色的访问权限,但为此我们必须使用创建集群的 IAM 用户/角色。
为了验证 EKS 集群的角色/用户,我们可以CreateCluster"在 cloudtrail 上搜索Api 调用,它会在sessionIssuer字段部分告诉我们集群的创建者arn( https://docs.aws.amazon.com/awscloudtrail/latest /userguide/view-cloudtrail-events.html)。
当我们使用 IAM 角色或 IAM 用户创建集群时,当我们使用角色 compare to user 创建集群时,设置 EKS 集群的访问权限将变得不那么棘手。
在设置对 EKS 集群的访问时,我将列出我们可以针对每种不同方法遵循的步骤。
通过运行命令确认在创建集群的 AWS cli 上正确设置了 IAM 用户凭证 aws sts get-caller-identity
$ aws sts get-caller-identity
{
"Account": "xxxxxxxxxxxx",
"UserId": "xxxxxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::xxxxxxxxxxx:user/eks-user"
}
之后使用以下命令更新 kubeconfig 文件
aws eks --region region-code update-kubeconfig --name cluster_name
通过上述命令附加配置文件后的样子。除非必要,否则请不要直接编辑此文件。
$ cat ~/.kube/config
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: CERT
server: https://xxxxxxx.sk1.us-east-1.eks.amazonaws.com
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
contexts:
- context:
cluster: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
current-context: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
kind: Config
preferences: {}
users:
- name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user:
exec:
apiVersion: client.authentication.k8s.io/v1alpha1
args:
- --region
- us-east-1
- eks
- get-token
- --cluster-name
- eks-cluster
command: aws
完成上述设置后,您应该能够运行 kubectl 命令。
$ kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP xxx.xx.x.x <none> 443/TCP 12d
通过 IAM 角色创建集群时,主要有四种不同的方式可以通过 cli 设置访问。
1.直接在kubeconfig文件中设置角色。
在这种情况下,在运行 kubectl 命令之前,我们不必通过 cli 手动调用任何假定角色 api 调用,因为这将通过aws/aws-iam-authenticatorkube 配置文件中的 set自动完成。
假设现在我们正在尝试为用户设置访问权限,eks-user首先确保用户确实有权承担角色eks-role
将承担角色权限添加到 eks-user
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::xxxxxxxxxxx:role/eks-role"
}
]
}
编辑对角色的信任关系,以便允许代eks-user入该角色。
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::xxxxxxxxxxx:user/eks-user"
},
"Action": "sts:AssumeRole"
}
]
}
确认在通过运行命令创建集群的 AWS cli 上正确设置了 IAM 用户凭证aws sts get-caller-identity。要记住的重要一点是它应该向我们显示 IAM 用户 ARN,而不是 IAM 假定的角色 ARN。
$ aws sts get-caller-identity
{
"Account": "xxxxxxxxxxxx",
"UserId": "xxxxxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::xxxxxxxxxxx:user/eks-user"
}
之后使用以下命令更新 kubeconfig 文件
aws eks --region region-code update-kubeconfig --name cluster_name --role-arn arn:aws:iam::xxxxxxxxxxx:user/eks-role
通过上述命令附加配置文件后的样子。除非必要,否则请不要直接编辑此文件。
$ cat ~/.kube/config
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: CERT
server: https://xxxxxxx.sk1.us-east-1.eks.amazonaws.com
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
contexts:
- context:
cluster: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
current-context: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
kind: Config
preferences: {}
users:
- name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user:
exec:
apiVersion: client.authentication.k8s.io/v1alpha1
args:
- --region
- us-east-1
- eks
- get-token
- --cluster-name
- eks-cluster
- --role
- arn:aws:iam::xxxxxxx:role/eks-role
command: aws
完成上述设置后,您应该能够运行 kubectl 命令。
$ kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP xxx.xx.x.x <none> 443/TCP 12d
2. 如果您已经在 CLI 上设置了 AWS 配置文件 ( https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html ) 并且您想将其与 kube 配置一起使用。
确认配置文件设置正确,以便它可以使用凭据 eks-user
$ cat ~/.aws/config
[default]
output = json
region = us-east-1
[eks]
output = json
region = us-east-1
[profile adminrole]
role_arn = arn:aws:iam::############:role/eks-role
source_profile = eks
$ cat ~/.aws/credentials
[default]
aws_access_key_id = xxxxxxxxxxxx
aws_secret_access_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
[eks]
aws_access_key_id = xxxxxxxxxxxx
aws_secret_access_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
完成此配置文件配置后,请通过运行命令确认配置文件配置正常 aws sts get-caller-identity --profile eks
$ aws sts get-caller-identity --profile eks
{
"Account": "xxxxxxxxxxxx",
"UserId": "xxxxxxxxxxxxxxxxxxxxx",
"Arn": "arn:aws:iam::xxxxxxxxxxx:user/eks-user"
}
之后,使用以下命令和配置文件更新 kubeconfig 文件,请确保我们没有在此处使用角色。
aws eks update-kubeconfig --name devel --profile eks
通过上述命令附加配置文件后的样子。除非必要,否则请不要直接编辑此文件。
$ cat ~/.kube/config
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: CERT
server: https://xxxxx.sk1.us-east-1.eks.amazonaws.com
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
contexts:
- context:
cluster: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
current-context: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
kind: Config
preferences: {}
users:
- name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user:
exec:
apiVersion: client.authentication.k8s.io/v1alpha1
args:
- --region
- us-east-1
- eks
- get-token
- --cluster-name
- eks-cluster
command: aws
env:
- name: AWS_PROFILE
value: eks
完成上述设置后,您应该能够运行 kubectl 命令。
$ kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP xxx.xx.x.x <none> 443/TCP 12d
3.通过任何其他方式承担角色,例如我们可以直接将IAM角色附加到实例。
如果角色直接附加到实例配置文件,那么我们可以按照我们在场景 1 中为 IAM 用户设置访问权限时遵循的类似步骤
验证我们是否已将正确的角色附加到 EC2 实例,并且由于此实例配置文件的优先级最低,此步骤还将验证实例上没有任何其他凭据设置。
[ec2-user@ip-xx-xxx-xx-252 ~]$ aws sts get-caller-identity
{
"Account": "xxxxxxxxxxxx",
"UserId": "xxxxxxxxxxxxxxxxxxxxx:i-xxxxxxxxxxx",
"Arn": "arn:aws:sts::xxxxxxxxxxxx:assumed-role/eks-role/i-xxxxxxxxxxx"
}
之后使用以下命令更新 kubeconfig 文件
aws eks --region region-code update-kubeconfig --name cluster_name
通过上述命令附加配置文件后的样子。除非必要,否则请不要直接编辑此文件。
$ cat ~/.kube/config
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: CERT
server: https://xxxxxxx.sk1.us-east-1.eks.amazonaws.com
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
contexts:
- context:
cluster: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
current-context: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
kind: Config
preferences: {}
users:
- name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user:
exec:
apiVersion: client.authentication.k8s.io/v1alpha1
args:
- --region
- us-east-1
- eks
- get-token
- --cluster-name
- eks-cluster
command: aws
完成上述设置后,您应该能够运行 kubectl 命令。
$ kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP xxx.xx.x.x <none> 443/TCP 12d
4. 通过aws sts assume-role命令手动承担 IAM 角色。
eks-role通过运行 cli 命令手动承担角色。
aws sts assume-role --role-arn arn:aws:iam::xxxxxxxxxxx:role/eks-role --role-session-name test
{
"AssumedRoleUser": {
"AssumedRoleId": "xxxxxxxxxxxxxxxxxxxx:test",
"Arn": "arn:aws:sts::xxxxxxxxxxx:assumed-role/eks-role/test"
},
"Credentials": {
"SecretAccessKey": "xxxxxxxxxx",
"SessionToken": xxxxxxxxxxx",
"Expiration": "xxxxxxxxx",
"AccessKeyId": "xxxxxxxxxx"
}
}
之后,使用上面输出的值设置所需的环境变量,以便我们可以使用从会话生成的正确凭据。
export AWS_ACCESS_KEY_ID=xxxxxxxxxx
export AWS_SECRET_ACCESS_KEY=xxxxxxxxxxx
export AWS_SESSION_TOKEN=xxxxxxxxxx
之后,通过运行命令验证我们是否承担了 IAM 角色aws sts get-caller-identity。
$ aws sts get-caller-identity { "Account": "xxxxxxxxxx", "UserId": "xxxxxxxxxx:test", "Arn": "arn:aws:sts::xxxxxxxxxx:assumed-role/eks-role/test " }
之后使用以下命令更新 kubeconfig 文件
aws eks --region region-code update-kubeconfig --name cluster_name
通过上述命令附加配置文件后的样子。除非必要,否则请不要直接编辑此文件。
$ cat ~/.kube/config
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: CERT
server: https://xxxxxxx.sk1.us-east-1.eks.amazonaws.com
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
contexts:
- context:
cluster: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
current-context: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
kind: Config
preferences: {}
users:
- name: arn:aws:eks:us-east-1:xxxxxxx:cluster/eks-cluster
user:
exec:
apiVersion: client.authentication.k8s.io/v1alpha1
args:
- --region
- us-east-1
- eks
- get-token
- --cluster-name
- eks-cluster
command: aws
完成上述设置后,您应该能够运行 kubectl 命令。
$ kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP xxx.xx.x.x <none> 443/TCP 12d
笔记:
我尝试在这里介绍主要用例,但可能还有其他用例,我们需要设置对集群的访问。
此外,上述测试主要针对 EKS 集群的首次设置,上述方法均未涉及 aws-auth 配置映射。但是,一旦您通过 aws-auth ( https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html ) 文件将其他 IAM 用户/角色的访问权限授予 EKS 集群,您就可以使用这些用户也有相同的命令集。
| 归档时间: |
|
| 查看次数: |
1442 次 |
| 最近记录: |