谁能解释一下在 kubernetes 上使用 kiam 来管理对 AWS 资源的服务级访问控制的示例?
根据文档:
服务器是唯一需要调用 sts:AssumeRole 和 可以放置在一组不运行其他实例的独立 EC2 实例上 用户工作负载。
我想知道在远离托管服务的节点运行它的服务器部分。
答:KIAM架构在这里得到了很好的解释:https://www.bluematador.com/blog/iam-access-in-kubernetes-kube2iam-vs-kiam
基本上,您希望在集群中使用具有 IAM::STS 权限的主节点来安装 kiam 的服务器部分,然后让您的工作节点连接到主节点以检索凭证。
免责声明:我对 k2iam 和 kiam 进行了一些挖掘,但没有将它们带到测试台上,并且对我的发现不满意。事实证明,从 EKS 中的 K8s 1.13 开始,即从 9 月 4 日开始,我们不再需要它们,因为已为 PODS 添加了来自 AWS 的本机支持以访问 IAM STS。
https://docs.aws.amazon.com/en_pv/eks/latest/userguide/iam-roles-for-service-accounts.html