AWS EKS добавляет пользователя, ограниченного пространством имен
Я создал кластер AWS EKS, так как я создал, используя свой идентификатор пользователя AWS, который был добавлен в system:masters группа. Но когда проверено ConfigMap aws-auth Я не вижу свой идентификатор пользователя. Зачем?
Мне пришлось дать доступ другому пользователю, поэтому я должен назначить соответствующие политики AWS для пользователя IAM, затем я отредактировал ConfigMap aws-auth со следующим отображением
mapUsers:
----
- userarn: arn:aws:iam::573504862059:user/abc-user
username: abc-user
groups:
- system:masters
До сих пор я понял, когда пользователь является частью system:masters группа, этот пользователь имеет права администратора в кластере.
Как я могу добавить нового пользователя с ограниченными правами в определенном пространстве имен? Должен ли я сделать то же самое, что я сделал для вышеуказанного пользователя? Если так, то к какой группе я должен добавить нового пользователя?
1 ответ
Я хотел бы ознакомиться с концепциями Kubernetes RBAC
Таким образом, вы можете создать Role так как они ограничены определенным пространством имен.
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: my-namespace
name: full-namespace
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
Затем создайте RoleBinding:
$ kubectl create rolebinding my-namespace-binding --role=full-namespace --group=namespacegroup --namespace=my-namespace
Или же kubectl create -f этот:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: my-namespace-binding
namespace: mynamespace
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: full-namespace
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
namespace: mynamespace
Затем на вашей ConfigMap:
mapUsers:
----
- userarn: arn:aws:iam::573504862059:user/abc-user
username: abc-user
groups:
- namespacegroup