У роли AWS и пользователя нет политики, почему я все еще могу получить доступ к кластеру K8s? - PullRequest
Новая
       53

У роли AWS и пользователя нет политики, почему я все еще могу получить доступ к кластеру K8s?

1 голос
/ 04 августа 2020

Мой вопрос: у меня нет разрешения, почему я могу получить доступ к K8s 

[vagrant@localhost ~]$ kubectl get deployment --namespace=development
No resources found in development namespace.

Ниже представлена ​​моя конфигурация. 

$ cat ~/.kube/config 
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: <my certificate-authority-data>
    server: https://2C1A77626A2087EBA1D1123EA9398DAF.gr7.ap-northeast-1.eks.amazonaws.com
  name: arn:aws:eks:ap-northeast-1:056844949861:cluster/eksworkshop-eksctl
contexts:
- context:
    cluster: arn:aws:eks:ap-northeast-1:056844949861:cluster/eksworkshop-eksctl
    user: arn:aws:eks:ap-northeast-1:056844949861:cluster/eksworkshop-eksctl
  name: arn:aws:eks:ap-northeast-1:056844949861:cluster/eksworkshop-eksctl
current-context: arn:aws:eks:ap-northeast-1:056844949861:cluster/eksworkshop-eksctl
kind: Config
preferences: {}
users:
- name: arn:aws:eks:ap-northeast-1:056844949861:cluster/eksworkshop-eksctl
  user:
    exec:
      apiVersion: client.authentication.k8s.io/v1alpha1
      args:
      - --region
      - ap-northeast-1
      - eks
      - get-token
      - --cluster-name
      - eksworkshop-eksctl
      - --role
      - arn:aws:iam::056844949861:role/k8sDev
      command: aws

Вот моя роль и ничего в разрешениях: enter image description here enter image description here

Here is my user, just inline policy here: enter image description here

here are my group and content of inline policy: введите описание изображения здесь

1 Ответ

2 голосов
/ 04 августа 2020

Причина, по которой вы можете получить к нему доступ, заключается в том, что пользователь IAM, к которому вы обращаетесь, является тем же пользователем, который использовался для создания кластера. В документации указано:

Когда вы создаете кластер Amazon EKS, пользователю или роли объекта IAM, например федеративному пользователю, который создает кластер, автоматически предоставляется system: masters разрешения в конфигурации RBAC кластера.

В EKS для аутентификации используются пользователи IAM, но роли IAM не контролируют авторизацию. Авторизация по-прежнему осуществляется через систему kubernetes RBA C.

...