Я запустил пару кластеров через KOPS и, будучи новичком в предоставлении кластеров k8s, поделился всем файлом конфигурации kube с моей командой. Я неправильно предположил, что могу легко изменить имя пользователя и пароль, чтобы запретить разработчикам, которые покинули компанию, проходить аутентификацию, если у них был файл конфигурации kube.
Пример пользовательского раздела выглядит примерно так:
- name: kubernetes.example.com
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
password: REDACTED
username: REDACTED
Когда я меняю пароль, я все еще могу аутентифицироваться. Но удаление разделов сертификата я становлюсь несанкционированным Я установил aws-iam-authenticator , и это работает отлично, но аутентификация с помощью сертификата все еще работает, указывая, что любой, имеющий доступ к исходной конфигурации kube, все же сможет проходить аутентификацию на сервере.
Есть ли какой-нибудь простой способ помимо перезапуска нового кластера повернуть эти сертификаты или вообще отключить аутентификацию сертификатов и просто перейти на аутентификацию AWS?