这个问题本质上是Adding IAM Group to aws-auth configmap in AWS EKS的重复。但是,这个问题没有公认的答案,我想提供更多背景信息。
我知道aws-authConfigMap 对象不允许直接映射 AWS 组。解决方法是映射 AWS 角色。我尝试过,但无法让它工作。映射 AWS 用户可以正常工作。
我将 AWS 角色设置arn:aws:iam::027755483893:role/development-readwrite为027755483893受信任实体,并附加了以下信任策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::027755483893:root"
},
"Action": "sts:AssumeRole"
}
]
}
我设置了一个 AWS 组arn:aws:iam::027755483893:group/development-readwrite并附加了以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::027755483893:role/development-readwrite"
]
}
]
}
我按如下方式设置aws-authConfigMap:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow", …我创建了AWS EKS集群,因为使用我的AWS userID创建的集群已添加到system:masters组中。但是,当选中ConfigMap时,aws-auth我看不到我的用户ID。为什么呢
我必须授予其他用户访问权限,因此我必须为IAM用户分配适当的AWS策略,然后aws-auth使用以下映射编辑ConfigMap
mapUsers:
----
- userarn: arn:aws:iam::573504862059:user/abc-user
username: abc-user
groups:
- system:masters
到目前为止,我已经了解了当用户属于system:masters组时,该用户在群集上具有管理员权限。
如何添加对特定名称空间具有受限特权的新用户?我是否需要为上述用户做同样的事情?如果是这样,那么我应该将新用户添加到哪个组?