1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 最佳做法是使用AWS IAM角色主体创建Amazon EKS集群。在这种情况下,您无需删除角色,只需将不再需要它的用户的访问权限移除即可。每个AWS IAM主体都有一个唯一的ID(UserId或RoleId)。这个ID存储在集群清单中,对用户不可见,以便为集群创建者提供对集群的管理员访问权限。删除并重新创建AWS IAM主体,即使具有相同的名称和Amazon资源名称(ARN),也会更改此主体ID,新主体将不具有与原始集群创建者相同的访问权限。
因此,仅在您确信以下两点时才应删除集群创建者AWS IAM主体:(1)您拥有一个具有足够权限以调用您需要管理集群的所有Amazon EKS API命令的AWS IAM主体,(2)您在RBAC中配置了一个AWS IAM主体,并在kube-system/aws-auth configmap中配置为system:masters,以便管理随后的用户和资源的Kubernetes RBAC。
一般来说,不应手动编辑aws-auth configmap,并且不应删除集群创建者AWS IAM主体。
目前,eksctl CLI是创建和管理aws-auth
configmap中AWS IAM身份映射的最佳工具。
此容器路线图项目也标记为即将推出。这个新功能将使管理AWS IAM主体对Amazon EKS集群的访问更加容易。
相关内容
- AWS 官方已更新 4 年前
- AWS 官方已更新 9 个月前
- AWS 官方已更新 7 个月前
- AWS 官方已更新 2 年前