AWS EKS添加集群用户或IAM角色

最新推荐文章于 2025-10-04 13:08:07 发布
原创 最新推荐文章于 2025-10-04 13:08:07 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#aws #kubernetes #docker

本文介绍了如何将IAM用户或角色添加到AWS EKS集群,包括编辑aws-auth ConfigMap,将IAM角色和用户映射到Kubernetes用户和组,以及设置必要的权限和角色绑定。

目录

Amazon EKS 使用 IAM 为Kubernetes 集群提供身份验证(通过 AWS CLI 的 1.16.156 版或更高版本中可用的 aws eks get-token 命令或者适用于 Kubernetes 的 AWS IAM 身份验证器),但它仍依赖于 Kubernetes 基于角色的访问控制 (RBAC) 来进行授权。

在这里插入图片描述

一、将 aws-auth ConfigMap 应用到集群

  1. 检查您是否已经应用了 aws-auth ConfigMap。

    kubectl describe configmap -n kube-system aws-auth

    如果您收到错误指示“Error from server (NotFound): configmaps "aws-auth" not found”,则继续以下步骤以应用库存 ConfigMap。

  2. 下载、编辑和应用 AWS 身份验证器配置映射。

    1. 下载配置映射。

      curl -o aws-auth-cm.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml

    2. 使用您常用的文本编辑器打开文件。将 <ARN of instance role (not instance profile)> 替换为与节点关联的 IAM 角色的 Amazon Resource Name (ARN),然后保存相应文件。请勿修改此文件中的任何其他行。

      重要

      角色 ARN 不能包含路径。角色 ARN 的格式必须为 arn:aws:iam::<123456789012>:role/<role-name>。有关更多信息,请参阅aws-auth ConfigMap 不授予对集群的访问权限

      apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-auth
  namespace: kube-system
data:
  mapRoles: |
    - rolearn: <ARN of instance role (not instance profile)>
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes

      您可以检查工作线程节点组的 AWS CloudFormation 堆栈输出,并查找以下值:

      • InstanceRoleARN(针对已使用 eksctl 创建的节点组)
      • NodeInstanceRole(针对已在 AWS Management Console 中使用 Amazon EKS 提供的 AWS CloudFormation 模板创建的节点组)

    3. 应用配置。此命令可能需要几分钟才能完成。

      kubectl apply -f aws-auth-cm.yaml

      注意

      如果您收到任何授权或资源类型错误,请参阅故障排除部分中的未经授权或访问被拒绝 (kubectl)

  3. 查看节点的状态并等待它们达到 Ready 状态。

    kubectl get nodes --watch

二、将 IAM 用户或角色添加到 Amazon EKS 集群

  1. 确保 AWS 要使用的 kubectl 凭证已为集群授权。预设情况下,创建该集群的 IAM 用户具有这些权限。

  2. 打开 aws-auth ConfigMap。

    kubectl edit -n kube-system configmap/aws-auth

    注意

    如果您收到错误指示“Error from server (NotFound): configmaps "aws-auth" not found”,则使用上述过程应用库存 ConfigMap。

    示例 ConfigMap:

    apiVersion: v1
data:
  mapRoles: |
    - groups:
      - system:bootstrappers
      - system:nodes
      rolearn: arn:aws:iam::111122223333:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF
      username: system:node:{{EC2PrivateDNSName}}
kind: ConfigMap
metadata:
  creationTimestamp: "2020-09-30T21:09:18Z"
  name: aws-auth
  namespace: kube-system
  resourceVersion: "1021"
  selfLink: /api/v1/namespaces/kube-system/configmaps/aws-auth
  uid: dcc31de5-3838-11e8-af26-02e00430057c

  3. 将 IAM 用户、角色或AWS账户添加到 configMap。您无法将 IAM 组添加到 configMap 中。

    • **添加 IAM 角色(例如,对于联合身份用户):**将角色详细信息添加到 data 下 ConfigMap 的 mapRoles 部分。如果此部分在文件中尚不存在,请添加它。每个条目支持以下参数:
      • rolearn:要添加的 IAM 角色的 ARN。
      • username:Kubernetes 内要映射到 IAM 角色的用户名。
      • groups:Kubernetes 内角色要映射到的组的列表。有关更多信息,请参阅 Kubernetes 文档中的默认角色和角色绑定
    • **添加 IAM 用户:**将用户详细信息添加到 data 下 ConfigMap 的 mapUsers 部分。如果此部分在文件中尚不存在,请添加它。每个条目支持以下参数:
      • userarn:要添加的 IAM 用户的 ARN。
      • username:Kubernetes 内要映射到 IAM 用户的用户名。
      • groups:Kubernetes 内用户要映射到的组的列表。有关更多信息,请参阅 Kubernetes 文档中的默认角色和角色绑定

    例如,下面的块包含:

    • mapRoles 部分,此部分添加节点实例角色,以便节点可以自行注册到集群。
    • mapUsers 部分,其中包含来自默认AWS账户的AWS用户 admin 和来自其他AWS账户的 ops-user。两个用户均添加到 system:masters 组。

    将所有 <example-values>(包含 <>)替换为您自己的值。

    # Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
  mapRoles: |
    - rolearn: <arn:aws:iam::111122223333:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF>
      username: <system:node:{{EC2PrivateDNSName}}>
      groups:
        - <system:bootstrappers>
        - <system:nodes>
  mapUsers: |
    - userarn: <arn:aws:iam::111122223333:user/admin>
      username: <admin>
      groups:
        - <system:masters>
    - userarn: <arn:aws:iam::111122223333:user/ops-user>
      username: <ops-user>
      groups:
        - <system:masters>

  4. 保存文件并退出您的文本编辑器。

  5. 确保将 Kubernetes 用户或组(被映射了 IAM 用户或角色)绑定到具有 RoleBindingClusterRoleBinding 的 Kubernetes 角色。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权。您可以下载以下示例清单,这些清单创建 clusterroleclusterrolebindingrolerolebinding

    • 查看所有命名空间中的 Kubernetes 资源 – 文件中的组名为 eks-console-dashboard-full-access-group,您的 IAM 用户或角色需要在 aws-auth configmap 中映射到此组。如果需要,您可以在将组应用到集群之前更改该组的名称,然后在 configmap 中将您的 IAM 用户或角色映射到该组。从下列位置下载文件:

      https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-full-access.yaml

    • 查看特定命名空间中的 Kubernetes 资源 – 此文件中的命名空间是 default,因此,如果要指定不同的命名空间,请编辑该文件,然后将其应用到集群。文件中的组名称为 eks-console-dashboard-restricted-access-group,您的 IAM 用户或角色需要在 aws-auth configmap 中映射到此组。如果需要,您可以在将组应用到集群之前更改该组的名称,然后在 configmap 中将您的 IAM 用户或角色映射到该组。从下列位置下载文件:

      https://s3.us-west-2.amazonaws.com/amazon-eks/docs/eks-console-restricted-access.yaml

  6. (可选)如果您希望已添加到 configmap 中的用户能够在 AWS Management Console 中 查看节点查看工作负载,则用户或角色必须具有以下两种类型的权限:

Kubernetesconfigmaps is forbidden User system:anonymous cannot list resource configmaps
九师兄
07-01 3803
1.背景 mac安装Kubernetes后登录报错 【Docker】Mac下Docker启动Kubernetes 给匿名用户授权即可解决,测试环境可用此快速解决 (base) lcc@lcc kubernetes$ kubectl create clusterrolebinding test:anonymous --clusterrole=cluster-admin --user=system:anonymous clusterrolebinding.rbac.authorization.k8s.io/.
EKS 权限管理:用户授权与角色授权实践
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
07-09 1109
在 Amazon EKS (Elastic Kubernetes Service) 环境中,实现精确的权限控制对于确保系统安全和合规性至关重要。本文将详细介绍如何在 EKS 中实现用户授权和角色授权,并提供一些常用的权限配置示例。用户授权:为特定 AWS IAM 用户提供 EKS 集群的访问权限。角色授权:为 AWS IAM 角色分配特定的 Kubernetes 权限。
k8s集群添加节点遇到的问题
leenhem的博客
05-31 4274
k8s集群添加节点遇到的问题加入集群卡住不动开debug模式报错原因解决办法在master节点重新生成一个在master查看Token重新加入,又报错原因:重新加入,成功 加入集群卡住不动 kubeadm join 172.25.42.235:6443 --token abcdef.0123456789abcdef --discovery-token-ca-cert-hash sha256:98de276382a20d872f579a74ee924b38d3705ebfcf268b1658a0b6ddb3d
修改K8S Master节点IP后使用kubeadm join无法添加节点
zhangxiangui40542的专栏
07-11 1万+
修改K8S Master节点IP后使用kubeadm join无法添加节点 背景: 目前接了一个需求:修改使用kubeadm部署好的K8S环境所在服务器IP。很明显,修改服务器IP后,kube-apiserver等服务是无法启动的。在使用脚本重新生成了apiserver证书等一系列操作后,将所有的服务恢复后,测试使用kubeadm join添加新的节点一直失败,看日志是kubeadm期间会使用到...
51、Elastic Kubernetes Service 部署与应用指南
最新发布
uber9的博客
10-04 66
本文详细介绍了如何将工作节点加入EKS集群、部署Kubernetes仪表盘以及将示例应用部署到EKS的完整流程。涵盖配置AWS EBS持久卷、集成Elastic Load Balancer、创建服务账户与权限管理,并提供常见问题解决方案与最佳实践,帮助用户高效、安全地在AWS上运行Kubernetes应用。
AWS eks 用户授权
gnufre的专栏
02-24 1615
国内使用阿里云惯了,点点就可以完成大部分的工作,国外的AWS 大都是命令行操作,且权限设置的特别细,在创建集群后,给用户授权的工作中走了很多弯路,特记录一下。
Kubeadm安装Kubernetes集群(二)
03-29 511
Kubeadm安装Kubernetes集群(二) k 一、环境准备 1、操作系统 CentOS 7.2 2、关闭swap [root@localhost ~]# swapoff -a ## vim /etc/fstab 注释如下语句,注意:centos-swap 可能不一样,如:rhel-swap /dev/mapper/centos-swap swap swap defaults 0 0 ## 验证 [root@localho
精选资源
AWS EKS使用指南.pdf
02-24
5. **安全性和网络**:Amazon VPC为EKS集群提供隔离的网络环境,同时AWS Identity and Access Management (IAM) 提供访问控制。 #### 四、Amazon EKS 定价与部署选项 - **定价**:Amazon EKS的费用包括控制面板...
AWS EKS集群-安装EBS和EFS插件(多集群Role)
sj1163739403的博客
09-09 1085
为什么我要再次写一篇关于EFS的部署的文章呢?原因是之前的文章是针对全新的AWS账号下第一个EKS集群进行EFS部署的,而这次我是在一个已存在EKS集群的账号下再次部署新的EKS集群。在按照之前的文档执行时,我遇到了一些错误。这让我意识到每个集群都会有一个OIDC(OpenID Connect),而我最初没有考虑到这个因素。因此,我新写了一篇补充版。问题的根本原因是权限错误,由于OIDC没有被授予EBS和EFS的权限,无法在集群中操作EFS和EBS。
AWS EKS集群动态创建卷并挂载
linux_s2018的博客
07-05 1909
EKS创建安装EBS CSI驱动,创建PVC
如何配置AWS EKS自动扩展组:实现高效弹性伸缩
awscloud的博客
04-14 1362
本文详细讲解如何在AWS EKS中配置节点组(Node Group)和Pod的自动扩展,优化资源利用率并保障应用高可用。
Kubernetes笔记(三)--使用kubeadm搭建k8s集群(详尽)
BigData_Mining的博客
08-08 1141
核心层:Kubernetes 最核心的功能,对外提供 API 构建高层的应用,对内提供插件式应用执行环境 应用层:部署(无状态应用、有状态应用、批处理任务、集群应用等)和路由(服务发现、DNS 解析等) 管理层:系统度量(如基础设施、容器和网络的度量),自动化(如自动扩展、动态 Provision 等)以及策略管理(RBAC、Quota、PSP、NetworkPolicy 等) 接口层:kube...
K8s安装遇见问题笔记
qq_41382215的博客
11-05 1万+
I1104 10:45:07.457305 16047 token.go:82] [discovery] Failed to request cluster info, will try again: [Get https://192.168.66.10:6443/api/v1/namespaces/kube-public/configmaps/cluster-info: dial tcp 192.168.66.10:6443: connect: no route to host]
aws eks 配置授权额外的用户角色访问集群
zhaojiew的学习笔记
03-23 595
aws eks 配置授权额外的用户角色访问集群
ConfigMap--kubernetes的“配置中心”
刘李404not_found的博客
06-29 1425
一、简介 ConfigMap 是一种 API 对象,用来将非机密性的数据保存到健值对中。使用时可以用作环境变量、命令行参数者存储卷中的配置文件。 ConfigMap 允许您将配置文件与镜像文件分离,以使容器化的应用程序具有可移植性。 二、创建 2.1 使用 kubectl 创建ConfigMap 格式: kubectl create configmap <map-name> <data-source> map-name 是要分配给 ConfigMap 的名称 data-sou
kubectl源码分析之cluster-info
mark's technic world
06-08 1058
发布一个k8s部署视频:https://edu.youkuaiyun.com/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 腾讯课堂连接地址https://ke.qq.com/course/478827?taid=4373109931462251&tuin=ba64518 第二个视频发布https://edu.youkuaiyun.com/c..
aws eks理解和使用podidentity为pod授权
zhaojiew的学习笔记
05-23 1286
理解和使用podidentity
解决AWS EKS 未经授权访问被拒绝 (kubectl)
kekevin的博客
12-06 2427
如果您在运行kubectl命令时收到以下错误之一,则说明您的kubectl未针对 Amazon EKS 正确配置,您使用的 IAM 用户角色凭证未映射到 Amazon EKS 集群中具有足够权限的 Kubernetes RBAC 用户。 could not get token: AccessDenied: Access denied error: You must be logged in to the server (Unauthorized) error: the ...
k8s 提示Error from server (NotFound): the server could not find the requested resource ( pods/log
热门推荐
轻的博客
01-19 2万+
k8s 使用kubectl logs/exec提示资源找不到。但是本机node的pod又可以正常访问。除了这个问题其他的什么服务搭建,pod创建一点问题都没有! 具体如下图 [root@master2 kubernetes]# kubectl logs -f -n kube-system calico-node-94jpw Error from server (NotFound): the server could not find the requested resource ( pods/log ca
使用Terraform和Helm在AWS EKS部署集群
综合上述知识点,在进行`terraform-eks-env-workshop`工作坊的过程中,学习者将掌握如何使用Terraform定义和部署AWS资源,特别是EKS集群。他们将了解如何利用Helm图表来部署和管理Kubernetes应用程序。整个工作坊将...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值