[试图通过AWS EKS集群的rbac限制IAM用户。错误地从kube-system名称空间更新了configmap“ aws-auth”。这删除了对EKS群集的完全访问权限。
缺少为用户添加configmap中的groups:。
尝试为配置映射中最后提到的用户/角色提供完全的管理员访问权限,但不走运。
恢复对群集的访问的任何想法都是非常可取的。
config-map.yaml:
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: kube-system
data:
mapUsers: |
- userarn: arn:aws:iam::1234567:user/test-user
username: test-user
我想尝试的第一件事是还原原始的aws-auth
ConfigMap(您可以找到它here):
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: kube-system
data:
mapRoles: |
- rolearn: <ARN of instance role (not instance profile)>
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
rolearn
的占位符替换为与您的工作节点相关联的IAM角色的ARN,如EKS documentation中所述。
当群集再次工作时,您可以再次将IAM用户添加到ConfigMap,这在EKS docs中也有介绍。
没有针对此问题的解决方法:
由于默认情况下创建EKS群集的IAM用户拥有对群集的完全访问权限,尽管使用了aws-auth配置图。由于创建的IAM用户已被删除,因此我们重新创建了IAM用户,因为它具有相同的arn(如果使用与以前相同的名称创建了IAM用户)。
一旦为用户创建了用户凭据(访问和密钥),我们便可以重新访问EKS集群。接下来,我们根据需要修改了配置映射。