AWS EKS: как первый пользователь добавляется в систему: группа мастеров от EKS

Question

EKS документация гласит

«Когда вы создаете кластер Amazon EKS, сущность IAM (пользователь или роль) автоматически получает систему: права доступа master в конфигурации RBAC кластера».

Но после создания кластера EKS, если вы проверите карту конфигурации aws-auth, у нее НЕ будет ARN-сопоставление группе system:masters. Но я могу получить доступ к кластеру через kubectl. Так что, если в aws-auth (карта конфигурации heptio) НЕТ моего ARN (я был тем, кто создал кластер EKS), сопоставленного с группой system:masters, как аутентификатор heptio aws аутентифицирует меня?

Answer 1

Я узнал ответ. В основном на стороне сервера heptio статическое отображение для system: master выполняется в / etc / kubernetes / aws-iam-authenticator / (https://github.com/kubernetes-sigs/aws-iam-authenticator#3-configure-your-api-server-to-talk-to-the-server), который монтируется в модуль аутентификации heptio. Поскольку у вас нет доступ к этому в EKS, вы не можете видеть его. Однако, если вы вызываете / authenticate себя с предварительно подписанным запросом, вы должны получить ответ TokenReviewStatus от аутентификатора heptio, показывающий отображение для ARN (который создал кластер) в систему: мастер группа!