AWS EKS добавляет пользователя, ограниченного пространством имен

Question

Я создал кластер AWS EKS, поскольку я создал его, используя свой идентификатор пользователя AWS, добавленный в группу system:masters.Но когда установлен флажок ConfigMap aws-auth, я не вижу свой идентификатор пользователя. Почему?

Мне пришлось предоставить доступ другому пользователю, поэтому я должен назначить соответствующие политики AWS для пользователя IAM, затем я отредактировал ConfigMap aws-auth со следующим отображением

mapUsers:
----
- userarn: arn:aws:iam::573504862059:user/abc-user  
  username: abc-user
  groups:
    - system:masters

До сих пор я понял, что когда пользователь входит в группу system:masters, у этого пользователя есть права администратора в кластере.

Как я могу добавить нового пользователя, который будетограничены привилегиями для определенного пространства имен?Должен ли я сделать то же самое, что я сделал для вышеуказанного пользователя?Если да, то к какой группе я должен добавить нового пользователя?

Answer 1

Я бы ознакомился с Концепциями RBAC Kubernetes

Так что вы можете создать Role, поскольку они ограничены определенным пространством имен.

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: my-namespace
  name: full-namespace
rules:
- apiGroups: ["*"] 
  resources: ["*"]
  verbs: ["*"]

Затем создайтеa RoleBinding:

$ kubectl create rolebinding my-namespace-binding --role=full-namespace --group=namespacegroup --namespace=my-namespace

Или kubectl create -f это:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-namespace-binding
  namespace: mynamespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: full-namespace
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  namespace: mynamespace

Затем в вашей ConfigMap:

mapUsers:
----
- userarn: arn:aws:iam::573504862059:user/abc-user  
  username: abc-user
  groups:
    - namespacegroup