删除EKS集群创建者IAM用户是否安全？

【以下的回答经过翻译处理】 最佳做法是使用AWS IAM角色主体创建Amazon EKS集群。在这种情况下，您无需删除角色，只需将不再需要它的用户的访问权限移除即可。每个AWS IAM主体都有一个唯一的ID（UserId或RoleId）。这个ID存储在集群清单中，对用户不可见，以便为集群创建者提供对集群的管理员访问权限。删除并重新创建AWS IAM主体，即使具有相同的名称和Amazon资源名称（ARN），也会更改此主体ID，新主体将不具有与原始集群创建者相同的访问权限。

因此，仅在您确信以下两点时才应删除集群创建者AWS IAM主体：（1）您拥有一个具有足够权限以调用您需要管理集群的所有Amazon EKS API命令的AWS IAM主体，（2）您在RBAC中配置了一个AWS IAM主体，并在kube-system/aws-auth configmap中配置为system:masters，以便管理随后的用户和资源的Kubernetes RBAC。

一般来说，不应手动编辑aws-auth configmap，并且不应删除集群创建者AWS IAM主体。

目前，eksctl CLI是创建和管理aws-authconfigmap中AWS IAM身份映射的最佳工具。

此容器路线图项目也标记为即将推出。这个新功能将使管理AWS IAM主体对Amazon EKS集群的访问更加容易。