Không thể cấp cho các vai trò AWS bổ sung khả năng tương tác với cụm của tôi

Tôi đang cố gắng tìm hiểu AWS EKS và làm theo Bắt đầu với Amazon EKS â Bảng điều khiển quản lý AWS và AWS CLI hướng dẫn từng bước ngoại trừ khu vực mà tôi đã thay đổi thành chúng tôi-đông-1.

Tôi có thể tạo cụm của mình - cụm của tôi nhưng khi tôi đang cố định cấu hình máy tính của mình là phiên bản EC2 (T2.Micro) để giao tiếp với cụm, tôi nhận được lỗi: Bạn phải đăng nhập vào máy chủ (Trái phép) lỗi. Khi tìm hiểu sâu, tôi thấy rằng vai trò EC2 (ARN - arn:aws:iam::123456789012:role/ec2-admin) cần đảm nhận vai trò đã tạo ra cụm (ARN - arn:aws:iam::123456789012:role /myAmazonEKSClusterRole). Tôi cũng đã thực hiện những sửa đổi này trong định nghĩa vai trò bằng cách sửa đổi Mối quan hệ tin cậy trong myAmazonEKSClusterVai trò nhận arn:aws:sts::123456789012:assumped-role/myAmazonEKSClusterRole/test-session Sau này, tôi có thể thực hiện aws eks lệnh nhưng kubectl mệnh lệnh vẫn đang lảng tránh tôi.

Để thực hiện kubectl lệnh, tôi đang cố gắng làm theo các bước trong Quản lý người dùng hoặc vai trò IAM cho cụm của bạn. Tuy nhiên, họ đang yêu cầu tôi thay đổi aws-auth-cm.yaml configMap mà tôi không thể thực hiện được vì tôi không thể thực thi áp dụng kubectl chỉ huy.

Của tôi kubeconfig tập tin -

phiên bản api: v1
cụm:
- cụm:
    chứng chỉ-cơ quan-dữ liệu: <cert>
  tên: arn:aws:eks:us-east-1:123456789012:cluster/my-cluster
bối cảnh:
- bối cảnh:
    cụm: arn:aws:eks:us-east-1:123456789012:cluster/my-cluster
    người dùng: arn:aws:eks:us-east-1:123456789012:cluster/my-cluster
  tên: arn:aws:eks:us-east-1:123456789012:cluster/my-cluster
ngữ cảnh hiện tại: arn:aws:eks:us-east-1:123456789012:cluster/my-cluster
loại: Cấu hình
sở thích: {}
người dùng:
- tên: arn:aws:eks:us-east-1:123456789012:cluster/my-cluster
  người dùng:
    người điều hành:
      apiVersion: client.authentication.k8s.io/v1alpha1
      lập luận:
      - --khu vực
      - chúng tôi-đông-1
      - ừm
      - Nhận được mã thông báo
      - --cluster-name
      - my-cluster
      lệnh: aws

Nội dung của tệp aws-auth-cm.yaml sau khi tôi thực hiện thay đổi là

phiên bản api: v1
loại: Bản đồ cấu hình
metadata:
  tên: aws-auth
  không gian tên: hệ thống kube
dữ liệu:
  vai trò bản đồ: |
          # - rolearn: <ARN của vai trò phiên bản (không phải hồ sơ phiên bản)>
          # tên người dùng: hệ thống: nút:{{EC2PrivateDNSName}}
          #      các nhóm:
          # - hệ thống: bootstrappers
          # - hệ thống: nút
    - rolearn: arn:aws:iam::375712918983:role/myAmazonEKSClusterRole
      tên người dùng: myAmazonEKSClusterRole
      các nhóm:
        - hệ thống: cao thủ

Bạn có thể vui lòng giúp đỡ với điều này hoặc đưa ra một số gợi ý?

Hãy cho tôi biết nếu bạn có bất cứ thắc mắc nào.

Bạn sẽ muốn một trong 3 điều; một trong hai:

• giả sử arn:aws:iam::123456789012:role/myAmazonEKSClusterRole trong một phiên cuối sao cho aws eks get-token chạy bằng kubectl sẽ cư xử đúng đắn
• tạo một hồ sơ awscli giả định arn:aws:iam::123456789012:role/myAmazonEKSClusterRole vai trò và cập nhật các lập luận: bao gồm [..., "--profile", "bất cứ thứ gì bạn gọi là hồ sơ đó",...]
• hoặc đảm nhận vai trò trong một thiết bị đầu cuối, hãy chạy aws eks get-tokenvà đặt thông tin xác thực tĩnh đó vào kubeconfig của bạn vì có vẻ như bạn không cần thông tin đăng nhập quá lâu chỉ để cập nhật Bản đồ cấu hình đó

Đối với cái đầu tiên, ý tôi là aws sts giả định vai trò --role-arn arn:aws:iam::123456789012:role/myAmazonEKSClusterRole ... | tee sts-creds.json và sau đó xuất AWS_ACCESS_KEY_ID= AWS_SECRET_KEY= AWS_SESSION_TOKEN= dựa trên nội dung của json đó

Đối với cái thứ hai, ý tôi là:

$ con mèo >> $HOME/.aws/config <<FOO
[hồ sơ cụm của tôi]
giả định_role = arn:aws:iam::123456789012:role/myAmazonEKSClusterRole
source_profile = bất cứ điều gì
; hoặc credential_source = bất cứ điều gì
FOO

dựa theo tài liệu này