主页 / server / 问题 / 1043732
Accepted
Giovanni Tirloni
Asked: 2020-11-25 05:01:30 +0800 CST

EKS 仍然需要 aws-iam-authenticator 吗?

  • 772

我通过控制台创建了一个集群(eks.3),然后用于aws eks update-config生成 kubeconfig 配置。我立即可以通过访问集群,kubectl但 EKS 用户指南谈论 aws-iam-authenticator 好像它是必需的。这还需要吗?如果不是,集群创建后如何进行身份验证?

kubernetes amazon-eks

1 个回答

  1. Best Answer

    Amazon EKS 使用 IAM 为您的 Kubernetes 集群提供身份验证[...],但它仍然依赖原生 Kubernetes 基于角色的访问控制 (RBAC) 进行授权。[...] 与您的 Amazon EKS 集群的 Kubernetes API 交互的所有权限都通过本机 Kubernetes RBAC 系统进行管理。 EKS 用户指南

    因此,您不需要 aws-iam-authenticator。aws-iam-authenticator 将 IAM 用户和角色映射到本机Kubernetes 基于角色的访问控制 (RBAC)以进行授权。所以理论上应该可以只使用RBAC。但是官方文档仅提及 IAM 身份验证。所以我建议也使用它。我不能 100% 确定缺少 aws-iam-authenticator 是否会导致基于服务的策略出现问题。诸如授予 pod 访问 s3 存储桶之类的东西。

    当您创建 Amazon EKS 集群时,IAM 实体用户或角色(例如创建集群的联合身份用户)会在集群的 RBAC 配置中自动获得 system:masters 权限。 EKS 用户指南

    这就是您的用户有权访问 EKS 集群的原因。

    • 1

相关问题