Question

Кто-нибудь знает, какими должны быть минимальные разрешения IAM, которые позволили бы пользователю создать кластер EKS?

Я принимаю на себя роль просто создать кластер с Terraform, и эта роль получила следующие утверждения в его политике определено (не более того):

        {
            "Sid": "AllowEKSCreate",
            "Effect": "Allow",
            "Action": [
                "eks:List*",
                "eks:Describe*",
                "eks:CreateCluster",
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEKSAll",
            "Effect": "Allow",
            "Action": "eks:*",
            "Resource": "arn:aws:eks:eu-west-1:XXXXXXXXXX:cluster/my-cluster"
        }

В CloudTrail я вижу только:

AWS access key: XXXXXXXX
AWS region: eu-west-1
Error code: AccessDenied
Event ID: XXXXXXXX
Event name: CreateCluster
Event source: eks.amazonaws.com

Успешные события:

sts : GetCallerIdentity
ec2: DescribeAccountAttributes

В CloudTrail нет другого события, которое могло бы быть неудачным.

SEB · Answer 1 · 10 апреля 2020

Обнаружено!

Отсутствует разрешение iam:PassRole для ресурса роли IAM кластера.

По какой-то причине CloudTrail не раскрывает эту информацию: (

PS Мне кажется, я четко сформулировал свой вопрос, поэтому мне интересно, почему кто-то дал бы мне -1.

AWS EKS - создание кластера минимальных разрешений IAM (AccessDenied)

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

AWS EKS - создание кластера минимальных разрешений IAM (AccessDenied)

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы