amazon-web-services - AWS EKS 添加用户受限于命名空间
问题描述
我已经创建了 AWS EKS 集群,因为我使用我的 AWS 用户 ID 创建了已添加到system:masters
组。但是当检查 ConfigMap 时,aws-auth
我看不到我的用户 ID。为什么 ?
我必须向其他用户授予访问权限,因此我必须为 IAM 用户分配适当的 AWS 策略,然后aws-auth
使用以下映射编辑 ConfigMap
mapUsers:
----
- userarn: arn:aws:iam::573504862059:user/abc-user
username: abc-user
groups:
- system:masters
到目前为止,我已经了解当用户是system:masters
组的一部分时,该用户对集群具有管理员权限。
如何添加对特定命名空间具有受限权限的新用户?我是否必须为上述用户做同样的事情?如果是这样,那么我应该将新用户添加到哪个组?
解决方案
因此,您可以创建一个Role
,因为这些仅限于特定的命名空间。
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: my-namespace
name: full-namespace
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
然后创建一个RoleBinding
:
$ kubectl create rolebinding my-namespace-binding --role=full-namespace --group=namespacegroup --namespace=my-namespace
或者kubectl create -f
这样:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: my-namespace-binding
namespace: mynamespace
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: full-namespace
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: namespacegroup
然后在您的 ConfigMap 上:
mapUsers:
----
- userarn: arn:aws:iam::573504862059:user/abc-user
username: abc-user
groups:
- namespacegroup
推荐阅读
- python - 哪个 SSIM 是正确的:skimage.metrics.structural_similarity()?
- android - 滚动在带有 recyclerView 的底部片断中不起作用
- java - 未能执行目标 org.apache.maven.plugins:maven-surefire-plugin:3.0.0-M3:test
- c# - 在 WCF 和 Web API 上启用 HTTP/2
- r - 如何在 R 中生成 112000 UUID
- react-native - 在本机反应中使用位置过滤用户
- mysql - MariaDB 中的 SQL 语法有什么问题?
- html - 如何在 Bootstrap4 网格上制作全高 div(从容器边缘的右侧滑出)
- typescript - 如何将此 JS 修复为 TS?
- reactjs - i18next 如何加载翻译?