EKS не может пройти аутентификацию в Kubernetes с помощью Kubectl - «Пользователь: не авторизован для выполнения: sts: AssumeRole»

Question

Я изначально запустил aws --region eu-west-1 eks update-kubeconfig --name prod-1234 --role-arn arn:aws:iam::1234:user/chris-devops, чтобы получить доступ к кластеру EKS.

При выполнении чего-либо вроде: kubectl get ... Я получаю ошибку:

Ошибкапроизошло (AccessDenied) при вызове операции AssumeRole: пользователь: arn: aws: iam :: 1234: пользователь / chris-devops не имеет права выполнять: sts: AssumeRole для ресурса: arn: aws: iam :: 1234: пользователь / chris-devops

Почему я получаю эту ошибку? Как получить доступ?

Я добавил следующее для пользователя:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::1234:user/chris-devops"
        }
    ]
}

Кроме того, у меня также есть полный доступ администратора:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

IПрочитал: https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_cant-assume-role

И я понимаю, что я отвечаю всем критериям.

Answer 1

Ваша политика неверна. Пользователь не может принять другого пользователя IAM. Это должно быть что-то вроде этого:

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "sts:AssumeRole"
        ],
        "Resource": "arn:aws:iam::1234:role/prod-Eks-1234-admins"
    }
]
}

Answer 2

aws eks --region eu-west-1 update-kubeconfig --name prod-eks-3flXvI2r --role-arn http://arn:aws:iam::1234:role/prod-eks-1234-admins

Я должен был указать правильную роль ... Woohooo