我将 TeamCity 构建为 Kubernetes 集群。我有一个用于 TeamCity 服务器的部署和一个用于 TeamCity 构建代理的部署。当我在 TeamCity 构建代理上运行 Terraform 时,它会在与托管 TeamCity Kubernetes 集群的 EC2 实例相同的 AWS 账户中创建资源。
我想运行一个构建,它在单独的 AWS 账户中创建 AWS 资源。我的想法是为 TeamCity 服务器分配一个 AWS 访问密钥和秘密密钥,并将它们传递给 TeamCity 构建代理,但我不知道工作流程将如何。
目前,我已将 AWS 访问密钥和秘密密钥声明为构建中的环境变量,但它们没有传递给代理。我的构建步骤只包含 3 行
terraform init
terraform plan
terraform apply -auto-approve
【问题讨论】:
标签: amazon-web-services kubernetes teamcity
我处理过一个非常相似的情况。当我们开始使用 AWS 时,我们没有遵循关于我们的脚本如何向 AWS 进行身份验证的最佳实践。
我们在每个帐户中创建了用户,并将访问和密钥导出到我们的 TeamCity 构建自动化中,以允许我们的脚本在这些帐户的上下文中运行。
您将在不同帐户中拥有多个用户,并最终为这些用户手动轮换密钥,然后在每次需要轮换密钥时更新 TeamCity 中的访问密钥和秘密密钥。
由于 TeamCity 构建代理服务器是 EC2 实例,因此在这种情况下,AWS 的最佳实践是使用角色而不是用户。来自 AWS 文档:
在 Amazon EC2 实例上运行的应用程序需要在 为了访问其他 AWS 服务。向 以安全的方式应用程序,使用 IAM 角色。角色是一个实体 有自己的一组权限,但那不是用户或组。角色 也没有像 IAM 那样拥有自己的永久凭证集 用户做。对于 Amazon EC2,IAM 动态提供 EC2 实例的临时凭证,这些凭证是 自动为您旋转。
来源:https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-roles-with-ec2
在这种情况下您应该做的是在每个有权创建 terraform 将构建的资源的帐户中创建一个角色。您将需要另一个角色用于 TeamCity 构建代理服务器,该角色应该能够承担在每个帐户中创建的角色。
假设您有两个帐户:
你需要的是:
AccountB 中角色的实例配置文件应分配给 TeamCity 构建代理服务器。然后,构建代理服务器能够承担 AccountA 中的角色,并在该帐户的上下文中以所需的权限运行,而无需硬编码的访问权限和密钥。
您可以对任意数量的其他帐户重复此过程,以通过 Terraform 构建资源。
您必须在 terraform 脚本中将以下块添加到 aws 提供程序,以让 terraform 知道要承担什么角色:
provider "aws" {
assume_role {
role_arn = "arn:aws:iam::<ACCOUNTA>:role/<ROLENAME>"
}
}
以下是有关如何授予对与 EC2 实例不同的账户中的 S3 存储桶的访问权限的一些 AWS 文档: https://aws.amazon.com/premiumsupport/knowledge-center/s3-instance-access-bucket/
另一个有用的文档页面包括 IAM Roes、EC2 实例配置文件和通过角色进行跨账户访问: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html
最后一个链接正是您想要做的事情: https://blog.e-zest.com/aws-ec2-assume-role-with-terraform
【讨论】:
当我想为 2 个单独的帐户添加两个注释时,我的 agent.yml 文件如下所示
规格: 复制品:1 选择器: 匹配标签: 应用程序:代理-pod 模板: 元数据: 注释: iam.amazonaws.com/role: arn:aws:iam::account:role/accoun1-s3-role iam.amazonaws.com/role: arn:aws:iam::account:role/account2-pods-s3-role
但是一旦我放了两个注释,我的 sts 承担 pod 的角色只向我展示了第二个角色。当我从 teamcity 运行构建时,我得到了这个错误 未找到适用于 aws 提供程序的有效凭据来源
【讨论】: