EKS - Sử dụng vai trò IAM cho tài khoản dịch vụ trên nhiều cụm

signaleleven

13:24, 14/10/2022

Tôi đang cố gắng sử dụng các vai trò IAM cho tài khoản dịch vụ trong EKS. https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html

Khi cần tạo vai trò IAM để gán cho tài khoản dịch vụ, tôi phải tạo vai trò đó bằng chính sách tin cậy đề cập đến nhà cung cấp OIDC của một cụm cụ thể.

https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html

Đặc biệt:

Bạn cũng phải tạo vai trò IAM cho tài khoản dịch vụ Kubernetes của mình để sử dụng trước khi liên kết vai trò đó với tài khoản dịch vụ. Mối quan hệ tin cậy nằm trong phạm vi cụm và tài khoản dịch vụ của bạn để mỗi kết hợp tài khoản cụm và dịch vụ yêu cầu vai trò riêng của nó

Phần này: Mối quan hệ tin cậy nằm trong phạm vi cụm và tài khoản dịch vụ của bạn là THỰC SỰ hạn chế.

Vấn đề của tôi với điều này là tôi muốn các cụm tạm thời và tồn tại trong thời gian ngắn, nhưng tôi không muốn thay đổi chính sách tin cậy của tất cả các vai trò IAM của ứng dụng được gán cho các tài khoản Dịch vụ trong cụm mỗi khi tôi xây dựng lại một cụm. Hơn nữa, tôi muốn cùng một tệp kê khai kubernetes (cho cùng một tài khoản dịch vụ) được áp dụng, giống hệt nhau, cho nhiều cụm, có khả năng là trên các cụm không tồn tại khi tệp kê khai được viết và vai trò IAM của ứng dụng được tạo.

Trong thời gian trước eks, khi sử dụng kube2iam, tôi chỉ đơn giản là tạo các nút cụm chia sẻ hồ sơ cá thể và sử dụng vai trò của hồ sơ cá thể trong chính sách tin cậy của các vai trò IAM được gán cho các nhóm. Điều đó cho phép tôi viết các bảng kê khai có thể hoạt động trên nhiều cụm.

Rõ ràng, tôi không thể chia sẻ nhà cung cấp OIDC giữa hai cụm EKS, theo cách tương tự như cách tôi đã chia sẻ vai trò nút (hồ sơ cá thể) trước đây.

Tôi đang tiếp cận vấn đề từ đầu sai? Tôi không muốn mã hóa cứng trong chính sách tin cậy của ứng dụng IAM đóng vai trò gì đó (trong trường hợp này là nhà cung cấp OIDC) dành riêng cho cụm, vì cụm không phải là vĩnh cửu.Tôi muốn có thể xây dựng lại từ đầu mà không cần xây dựng lại vai trò của các ứng dụng (hoặc bảng kê khai tài khoản dịch vụ) mà tôi có thể chạy trên đó.

Tôi sẽ gắn bó với kube2iam, nhưng điều đó không hoạt động với cấu hình cổng xa, vì vậy vai trò IAM cho tài khoản dịch vụ là giải pháp duy nhất của tôi.

260

0 + 0

amazon-web-services

amazon-iam

amazon-eks

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: EKS - Use IAM roles for service accounts on multiple clusters

TH: EKS - ใช้บทบาท IAM สำหรับบัญชีบริการในหลายคลัสเตอร์

RO: EKS - Utilizați roluri IAM pentru conturile de serviciu pe mai multe clustere

RU: EKS — использование ролей IAM для учетных записей служб в нескольких кластерах

VI: EKS - Sử dụng vai trò IAM cho tài khoản dịch vụ trên nhiều cụm

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.