Кто-нибудь знает, какими должны быть минимальные разрешения IAM, которые позволили бы пользователю создать кластер EKS?
Я принимаю на себя роль просто создать кластер с Terraform, и эта роль получила следующие утверждения в его политике определено (не более того):
{
"Sid": "AllowEKSCreate",
"Effect": "Allow",
"Action": [
"eks:List*",
"eks:Describe*",
"eks:CreateCluster",
"ec2:Describe*"
],
"Resource": "*"
},
{
"Sid": "AllowEKSAll",
"Effect": "Allow",
"Action": "eks:*",
"Resource": "arn:aws:eks:eu-west-1:XXXXXXXXXX:cluster/my-cluster"
}
В CloudTrail я вижу только:
AWS access key: XXXXXXXX
AWS region: eu-west-1
Error code: AccessDenied
Event ID: XXXXXXXX
Event name: CreateCluster
Event source: eks.amazonaws.com
Успешные события:
- sts : GetCallerIdentity
- ec2: DescribeAccountAttributes
В CloudTrail нет другого события, которое могло бы быть неудачным.