Не удалось получить токен Отказано в доступе с помощью AWS IAM Authenticator

Question

Я пытаюсь настроить AWS IAM Authenticator для моего кластера k8s.У меня есть две учетные записи AWS: A и B.

Учетная запись k8s работает в учетной записи B.

Я создал в учетной записи A следующие ресурсы:

Policy

Description: Grants permissions to assume the kubernetes-admin role
Policy:
  Statement:
    - Action: sts:*
      Effect: Allow
      Resource: arn:aws:iam::<AccountID-B>:role/kubernetes-admin
      Sid: KubernetesAdmin
  Version: 2012-10-17

Политика связана с группой, и я добавляю в нее своего пользователя IAM.

В учетной записи B я создал следующую роль:

AssumeRolePolicyDocument:
  Statement:
    - Action: sts:AssumeRole
      Effect: Allow
      Principal:
        AWS: arn:aws:iam::<AccountID-A>:root
  Version: 2012-10-17

Это ConfigMap для настройки aws-iam-authenticator:

apiVersion: v1
data:
  config.yaml: |
    # a unique-per-cluster identifier to prevent replay attacks
    # (good choices are a random token or a domain name that will be unique to your cluster)
    clusterID: k8s.mycluster.net
    server:
      # each mapRoles entry maps an IAM role to a username and set of groups
      # Each username and group can optionally contain template parameters:
      # "{{AccountID}}" is the 12 digit AWS ID.
      # "{{SessionName}}" is the role session name.
      mapRoles:
      - roleARN: arn:aws:iam::<AccountID-B>:role/kubernetes-admin
        username: kubernetes-admin:{{AccountID}}:{{SessionName}}
        groups:
        - system:masters
kind: ConfigMap
metadata:
  creationTimestamp: 2018-12-13T19:41:39Z
  labels:
    k8s-app: aws-iam-authenticator
  name: aws-iam-authenticator
  namespace: kube-system
  resourceVersion: "87401"
  selfLink: /api/v1/namespaces/kube-system/configmaps/aws-iam-authenticator
  uid: 1bc39653-ff0f-11e8-a580-02b4590539ba

kubeconfig:

apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: <certificate>
    server: https://api.k8s.mycluster.net
  name: k8s.mycluster.net
contexts:
- context:
    cluster: k8s.mycluster.net
    namespace: kube-system
    user: k8s.mycluster.net
  name: k8s.mycluster.net
current-context: k8s.mycluster.net
kind: Config
preferences: {}
users:
- name: k8s.mycluster.net
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1alpha1
      command: aws-iam-authenticator
      env:
      - name: "AWS_PROFILE"
        value: "myaccount"
      args:
        - "token"
        - "-i"
        - "k8s.mycluster.net"
        - "-r"
        - "arn:aws:iam::<AccountID-B>:role/kubernetes-admin"

Результат:

could not get token: AccessDenied: Access denied
    status code: 403, request id: 6ceac161-ff2f-11e8-b263-2b0e32831969
Unable to connect to the server: getting token: exec: exit status 1

Есть идеи?Я не понимаю, чего мне не хватает.

Answer 1

, чтобы добавить к этому - мое решение было сделать следующее:

в каталоге ~ / .kube:

aws eks update-kubeconfig --name eks-dev-cluster --role-arn=XXXXXXXXXXXX

это создает файл config-my-eks-cluster

vi config-my-eks-cluster

закомментируйте две вышеупомянутые строки:

  apiVersion: client.authentication.k8s.io/v1alpha1
  args:
  - token
  - -i
  - eks-dev-cluster
  #- -r
  #- arn:aws:iam::XXXXXXXXX:role/eks-dev-role (the role you made for eks)
  command: aws-iam-authenticator

Затем убедитесь, что вы экспортировали свой профиль пользователя с помощью:

export AWS_PROFILE = XXXXXXXXX (пользователь, которого вы использовалидля создания кластера в консоли или через cli)

Выполнение:

kubectl get svc --v=10

переведет вывод в подробный режим и предоставит подробную информацию обо всех возникающих ошибках.

Answer 2

способ заставить его работать должным образом - удалить

- "-r"
- "arn:aws:iam::<AccountID-B>:role/kubernetes-admin" 

и передать роль для принятия AWS_PROFILE env var