我想使用 kubernetes 在 AWS EKS 中部署应用程序。我的应用程序需要访问 SQS 和 AWS S3。我不确定如何允许 kubernetes 应用程序访问 SQS 和 S3。我查看了 RBAC,但我猜 RBAC 只提供管理集群、 namespace 或 pod 的访问权限。
我正在尝试将访问 key 和 secret key 作为 secret 传递给环境变量并允许权限。但我认为这不是一个好主意。
有没有其他方法可以创建 IAM 角色并将角色传递给运行应用程序的 pod? 如果我尝试在工作节点角色中提供权限,那么共享该节点的所有 pod 都将获得该权限。我需要像特定 pod 或容器这样的东西将获得许可
我还尝试创建 RBAC,其中将角色分配给组并将组绑定(bind)到命名空间。
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: default
data:
mapRoles: |
- rolearn: arn:aws:iam::xxxxxxxxx:role/EksWorkers-NodeInstanceRole-xxxxx
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- rolearn: arn:aws:iam::xxxxxxxxx:role/iam-role-for-application
groups:
- app-group
和
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: admins
namespace: default
subjects:
- kind: Group
name: app-group
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: admin
apiGroup: rbac.authorization.k8s.io
最佳答案
aws-auth
configMap 用于将用户/角色映射到集群。
更新:这是您可以在 native 执行此操作的方法
https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/ https://docs.aws.amazon.com/en_pv/eks/latest/userguide/iam-roles-for-service-accounts.html
要为 Pod 赋予 IAM 角色,您可以使用以下工具之一
https://github.com/jtblin/kube2iam
https://github.com/uswitch/kiam
亚马逊团队正在努力将其原生化
https://github.com/aws/containers-roadmap/projects/1?card_filter_query=iam
https://github.com/aws/containers-roadmap/issues/23
关于kubernetes - 允许 kubernetes 应用程序访问其他 AWS 资源?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57668633/