Как настроить создатель кластера в CloudFormation для повторного использования в лямбде?

Question

У меня есть стек CloudFormation, который создает кластер EKS и затем запускает команду kubectl в лямбда-выражении.

Проблема заключается в том, что кластер создан с доступом только для пользователя, запустившего облачную информацию стек (например, пользователь). И в этом случае роль, которая запускает лямбду с kubectl, не справляется с You must be logged in to the server (Unauthorized), потому что это не роль, которая запустила стек создания кластера cloudfromation.

Я проверил альтернативные решения, такие как eksctl, где я могу укажите роль, которая будет запускать стек CloudFormation, который создает кластер, но создание кластера с eksctl занимает больше 15 минут, и я не могу использовать его внутри лямбды.

Есть ли способ создать Кластер EKS и есть доступ к нему из лямбды в том же стеке облачной информации?

Answer 1

вам следует создать пользовательскую роль IAM Service для Cloudformaction STACK и LAMBDA. Вы должны гарантировать, что у этой роли есть необходимые разрешения для службы EKS, а

в разделе Разрешения вы можете узнать, как стек может выполнять роль. https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-add-tags.html

А вот как создать роль для службы, https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

По умолчанию EKS назначает роль администратора в качестве администратора предполагается, когда он создан.