那些遇到过的问题

如何允许承担角色从 EC2 连接到 AWS 上的 EKS?

Mia*_*ian 5 amazon-ec2 amazon-web-services amazon-iam kubernetes amazon-eks

在此输入图像描述

我在同一个 AWS 账户中创建了一个 EC2 实例和一个 EKS 集群。为了使用 EC2 中的 EKS 集群,我必须向其授予必要的权限。

我添加了具有一些 EKS 操作权限的实例配置文件角色。其角色 arnarn:aws:iam::11111111:role/ec2-instance-profile-role在仪表板上是 (A)。但在EC2实例中,可以发现它是arn:aws:sts::11111111:assumed-role/ec2-instance-profile-role/i-00000000(B)。

$ aws sts get-caller-identity
{
    "Account": "11111111",
    "UserId": "AAAAAAAAAAAAAAA:i-000000000000",
    "Arn": "arn:aws:sts::11111111:assumed-role/ec2-instance-profile-role/i-00000000"
}
Run Code Online (Sandbox Code Playgroud)

我还创建了一个aws-auth配置映射以设置到 EKS 中的 Kubernetes 系统配置中,以便可以注册和访问 EC2 实例配置文件角色。我尝试将 A 和 B 都设置到 mapRoles 中,但它们都遇到了相同的问题。当我在 EC2 上运行kubectl命令时:

$ aws eks --region aws-region update-kubeconfig --name eks-cluster-name

$ kubectl config view --minify
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://xxxxxxxxxxxxxxxxxxxxxxxxxxxx.aw1.aws-region.eks.amazonaws.com
  name: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
contexts:
- context:
    cluster: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
    user: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
  name: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
current-context: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
kind: Config
preferences: {}
users:
- name: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1alpha1
      args:
      - --region
      - aws-region
      - eks
      - get-token
      - --cluster-name
      - eks-cluster-name
      - --role
      - arn:aws:sts::11111111:assumed-role/ec2-instance-profile-role/i-00000000
      command: aws
      env: null
      provideClusterInfo: false

$kubectl get svc
error: You must be logged in to the server (Unauthorized)
Run Code Online (Sandbox Code Playgroud)

我还检查了所承担角色的类型。是Service但不是AWS

看来这个类型是有必要的。

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Principal": { "AWS": "arn:aws:iam:: 333333333333:root" },
        "Action": "sts:AssumeRole"
    }
}
Run Code Online (Sandbox Code Playgroud)

Terraform aws 承担角色

但我尝试创建一个新的假设角色,AWS并将其设置为 Kubernetes 的aws-auth配置映射,仍然是同样的问题。

如何使用它?我需要创建一个新的 IAM 用户才能使用吗?

Har*_*var 1 

- name: external-staging
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1alpha1
      args:
      - exec
      - test-dev
      - --
      - aws
      - eks
      - get-token
      - --cluster-name
      - eksCluster-1234
      - --role-arn
      - arn:aws:iam::3456789002:role/eks-cluster-admin-role-e65f32f
      command: aws-vault
      env: null
Run Code Online (Sandbox Code Playgroud)

这个配置文件对我有用。它应该是role-arncommand: aws-vault

归档时间:

查看次数:

1717 次

最近记录:

4 年,4 月 前
相关归档
如何使用Cloud Formation为CloudFront分配配置ACM证书 15
在Kubernetes中重命名部署 11
子目录中的弹性 beanstalk 节点应用程序 11
Spring-Cloud-AWS 与 AWS-SDK-Java 2 9
AWS s3api列表对象返回多少个对象? 7
通过 Kubernetes API 获取 docker 镜像标签 6
如果我可以解码 Kubernetes 机密,它们有什么意义? 6
Kubernetes 上的 Redis 哨兵 HA 4
AWS EC2通过PowerShell/CMD工具停止所有操作 2
检索 AWS 子网中的私有 IP 地址 1
难疑归档
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
如何在JavaScript中将字符串转换为布尔值? 2328
在Git中撤消一个文件的工作副本修改? 1550
将文件从Docker容器复制到主机 1438
如何在回调中访问正确的`this`? 1309
什么是右值,左值,x值,glvalues和prvalues? 1291
在JavaScript中修剪字符串? 1285
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146
如何在Node.js上的Express.js中获取GET(查询字符串)变量? 1115
jQuery从下拉列表中获取选定的选项 1067