我想使用 kubernetes 在 AWS EKS 中部署一个应用程序。我的应用程序需要访问 SQS 和 AWS S3。我不确定如何允许 kubernetes 应用程序访问 SQS 和 S3。我研究了 RBAC,但我想 RBAC 仅提供管理集群、命名空间或 Pod 的访问权限。
我正在尝试将访问密钥和密钥作为机密传递给环境变量并允许权限。但我认为这不是一个好主意。
还有其他方法可以创建 IAM 角色并将角色传递给运行应用程序的 Pod 吗? 如果我尝试在工作节点角色中提供权限,则共享该节点的所有 Pod 都将获得该权限。我需要类似特定 pod 或容器才能获得权限的东西
我还尝试创建 RBAC,其中将角色分配给组,并且组绑定到命名空间。
apiVersion: v1
kind: ConfigMap
metadata:
name: aws-auth
namespace: default
data:
mapRoles: |
- rolearn: arn:aws:iam::xxxxxxxxx:role/EksWorkers-NodeInstanceRole-xxxxx
username: system:node:{{EC2PrivateDNSName}}
groups:
- system:bootstrappers
- system:nodes
- rolearn: arn:aws:iam::xxxxxxxxx:role/iam-role-for-application
groups:
- app-group
和
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: admins
namespace: default
subjects:
- kind: Group
name: app-group
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: admin
apiGroup: rbac.authorization.k8s.io
aws-authconfigMap 用于将用户/角色映射到集群。
更新:这是您可以在本机执行此操作的方法
https://aws.amazon.com/blogs/opensource/introducing-fine-grained-iam-roles-service-accounts/https://docs.aws.amazon.com/en_pv/eks/latest/userguide/iam-roles-for-service-accounts.html
要向 Pod 授予 IAM 角色,您可以使用以下工具之一
https://github.com/jtblin/kube2iam
https://github.com/uswitch/kiam
亚马逊团队正在努力将其原生化
https://github.com/aws/containers-roadmap/projects/1?card_filter_query=iam https://github.com/aws/containers-roadmap/issues/23