EKS-来自服务器的错误(禁止):禁止命名空间:用户“arn::x/xx”无法在集群范围的 API 组“”中列出资源“命名空间”
问题描述 投票:0回答:1
遇到
来自服务器的错误(禁止):禁止命名空间:用户“arn:aws:iam::xxxxx:user/xx”无法在集群范围内的 API 组“”中列出资源“命名空间”
尝试时
kubectl get ns
这个我试过了
https://repost.aws/knowledge-center/eks-kubernetes-object-access-error
我尝试访问 EKS 集群的 IAM 角色拥有以下权限:
EKS管理员拥有所有资源的“完全访问”权限
我的 terraform 可以访问 ARN(如下所示)
manage_aws_auth_configmap = true
aws_auth_users = [
{
userarn = "arn:aws:iam::xxxxx:root"
username = "root"
groups = ["system:masters"]
},
{
userarn = "arn:aws:iam::xxxxx:user"
username = "xx"
groups = ["system:masters"]
},
]
aws_auth_accounts = [
"xxxxx"
]
我还通过在亚马逊云 shell 上运行此命令来验证集群是否具有 ConfigMap
apiVersion: v1
data:
mapAccounts: |
- "xxxxx"
mapRoles: |
- "groups":
- "system:bootstrappers"
- "system:nodes"
"rolearn": "arn:aws:iam::xxxxx:role/backend-eks-node-group-xxxxxxxxxx"
"username": "system:node:{{EC2PrivateDNSName}}"
mapUsers: |
- "groups":
- "system:masters"
"userarn": "arn:aws:iam::xxxxx:root"
"username": "root"
- "groups":
- "system:masters"
"userarn": "arn:aws:iam::xxxxx:user"
"username": "xx"
kind: ConfigMap
metadata:
creationTimestamp: "2023-11-27T13:33:15Z"
name: aws-auth
namespace: kube-system
resourceVersion: "26180451"
uid: 13b72acd-5531-4fde-9a2c-43df456704e1
我还尝试创建一个新的 IAM 用户并授予完全访问权限,并尝试连接到 EKS。
1个回答
0
投票
投票
这个问题的答案实际上有两个方面。首先需要理解的是,分配给 IAM 用户/角色的权限与 AWS 中的权限相关。 EKS 权限与 Kubernetes 权限没有任何关系。前者允许用户/角色在使用 AWS 控制台/API/AWS CLI 时与 AWS 托管服务交互(即获取集群信息)。后者,即 Kubernetes 权限,允许您与集群交互,但是在使用
kubectlresource "kubernetes_cluster_role_v1" "some_role" {
metadata {
name = "some-role-name"
}
rule {
api_groups = [""]
resources = ["namespaces"]
verbs = ["get", "list"]
}
}
resource "kubernetes_cluster_role_binding_v1" "some_role_binding" {
metadata {
name = "some-role-name-binding"
}
role_ref {
api_group = "rbac.authorization.k8s.io"
kind = "ClusterRole"
name = kubernetes_cluster_role_v1.some_role.metadata[0].name
}
subject {
kind = "User"
name = "xx" # or whatever the user name is
}
}
这样,ClusterRole 就被创建了,它将绑定到具有 EKS 配置的组
"system:masters"aws_auth_users = [
{
userarn = "arn:aws:iam::xxxxx:root"
username = "root"
groups = ["system:masters"]
},
{
userarn = "arn:aws:iam::xxxxx:user"
username = "xx"
groups = ["system:masters"]
},
]
如果需要限制对特定命名空间的访问,可以使用 RoleBinding 而不是 ClusterRoleBinding。或者,如果需要额外的安全性,您可以创建一个 Role 并使用 RoleBinding。此外,此示例中的规则仅允许列出命名空间,因此如果需要,可以添加其他规则。
最后一步,您需要使用
aws eks update-kubeconfig <options>ConfigMap最新问题
- 频数表如何变换?
- 防止spring中使用@transaction注解后某行代码不回滚
- 带有 ggplot 多条线和辅助轴的线图
- Android-Manifest Activity 标签-屏幕方向已弃用
- 边缘设备上家庭警报的流推理
- 为什么golang指针可以直接获取对象的属性
- 在vue.js中更新数据时如何关闭模态?
- 将 Luxon 的行为调整为相对值,围绕年份交叉?
- Azure 机器学习:访问令牌来自错误的颁发者
- 我需要在单击时设置活动按钮。我正在使用引导程序
- 有没有办法在powershell中使用内联语法来使用Read-Host?
- Terraform - 创建触发器时出错:googleapi:错误 400:请求包含无效参数
- TYPO3 Fluid viewhelper f:security.nonce 不生成随机数
- 如何添加滚动条?
- 在 npm 包中部署 Storybook 组件
- Weasyprint 不渲染图像(Python)
- Ruby on Rails 中的表单,将变量在一种表单之间传递到另一种表单
- 如何处理 DRF 中序列化器中的保留字(from)
- 如何根据主题更改吐司的背景颜色?反应烤面包
- 如何比较cshtml中两个日期之间的年份
© www.soinside.com 2019 - 2024. All rights reserved.