【发布时间】:2021-10-16 08:15:25
【问题描述】:
我在同一个 AWS 账户中创建了一个 EC2 实例和一个 EKS 集群。 为了从 EC2 使用 EKS 集群,我必须授予它必要的权限。
我添加了一个具有一些 EKS 操作权限的实例配置文件角色。它的角色 arn 是仪表板上的arn:aws:iam::11111111:role/ec2-instance-profile-role(A)。但在EC2实例中,可以找到arn:aws:sts::11111111:assumed-role/ec2-instance-profile-role/i-00000000(B)。
$ aws sts get-caller-identity
{
"Account": "11111111",
"UserId": "AAAAAAAAAAAAAAA:i-000000000000",
"Arn": "arn:aws:sts::11111111:assumed-role/ec2-instance-profile-role/i-00000000"
}
我还创建了一个aws-auth 配置映射以设置到 EKS 中的 Kubernetes 系统配置中,以允许注册和访问 EC2 实例配置文件角色。我尝试将 A 和 B 都设置到 mapRoles 中,他们都遇到了同样的问题。当我在 EC2 上运行 kubectl 命令时:
$ aws eks --region aws-region update-kubeconfig --name eks-cluster-name
$ kubectl config view --minify
apiVersion: v1
clusters:
- cluster:
certificate-authority-data: DATA+OMITTED
server: https://xxxxxxxxxxxxxxxxxxxxxxxxxxxx.aw1.aws-region.eks.amazonaws.com
name: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
contexts:
- context:
cluster: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
user: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
name: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
current-context: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
kind: Config
preferences: {}
users:
- name: arn:aws:eks:aws-region:11111111:cluster/eks-cluster-name
user:
exec:
apiVersion: client.authentication.k8s.io/v1alpha1
args:
- --region
- aws-region
- eks
- get-token
- --cluster-name
- eks-cluster-name
- --role
- arn:aws:sts::11111111:assumed-role/ec2-instance-profile-role/i-00000000
command: aws
env: null
provideClusterInfo: false
$kubectl get svc
error: You must be logged in to the server (Unauthorized)
我还检查了担任角色的类型。是Service,但不是AWS。
看来这种类型是必要的。
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam:: 333333333333:root" },
"Action": "sts:AssumeRole"
}
}
但我尝试使用 AWS 类型创建一个新的假设角色并将其设置为 Kubernetes 的 aws-auth 配置映射,仍然是同样的问题。
如何使用它?我是否需要创建一个新的 IAM 用户才能使用?
【问题讨论】:
标签: amazon-web-services kubernetes amazon-ec2 amazon-iam amazon-eks