程序员经验分享-hwhale

将 IAM 组添加到 AWS EKS 中的 aws-auth configmap

2024-02-09

The aws-auth 配置映射 https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.htmlAWS EKS 中执行 IAM 用户/角色到 kubernetes RBAC 角色之间的映射。但是,文档没有指定有关将 IAM 组添加到配置映射的任何内容。

我们使用多个命名空间,每个命名空间由不同的团队管理。我创建了一组 kubernetes RBAC 角色,仅限于不同的命名空间。现在,我想为 IAM 团队中的每个人赋予特定的角色。

是否可以在 aws-auth configmap 中添加 IAM 组?如果不是,建议的解决方案是什么?为每个团队创建一个 IAM 角色并仅允许 IAM 组的成员担任该角色?


你可以看一下here https://stackoverflow.com/a/52765737/10675601.

TLDR
1. 创建一个允许完整API访问的角色
2. 创建一个RoleBinding将该角色添加到您的目标命名空间,并使用命名的 apiGroup 作为subjects.
3. 在 aws-auth 中为您的 IAM 用户添加条目ConfigMap添加mapUser到上述指定的 apiGroup。

希望这可以帮助!

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

amazonwebservices

Kubernetes

amazoniam

amazoneks

将 IAM 组添加到 AWS EKS 中的 aws-auth configmap 的相关文章

  • AWS CLI 从 AWS CLI 获取私有存储桶的下载 S3 URL

    我可以将文件上传到private使用以下命令成功S3存储桶 aws s3 cp myfile txt s3 myfolder myfile txt region us east 1 output json 我想发出 AWS CLI 命令来返

  • 如何在亚马逊 EC2 上调试 python 网站?

    我是网络开发新手 这可能是一个愚蠢的问题 但我找不到可以帮助我的确切答案或教程 我工作的公司的网站 用 python django 构建 托管在亚马逊 EC2 上 我想知道从哪里开始调试这个生产站点并检查存储在那里的日志和数据库 我有帐户信

  • 当使用 k8s.io/client-go 库的 kubernetes 部署发生更改时获得通知的最佳方式是什么?

    Context 我正在编写一个使用k8s io client go https github com kubernetes client go 图书馆 这里是 godocs https godoc org k8s io client go

  • 如何设置 AWS Appsync 请求超时限制 || AWSAppSync 客户端不提供回调

    我正在使用 AWS Appsync 来开发当前的应用程序 并面临一个严重的问题 即每当我在 Appsync 客户端中触发查询时 当互联网连接速度较慢时 请求永远不会以回调结束 我在互联网上查了一下 关于这个主题的信息来源有限 而且发现这个问

  • 从 Docker 容器中获取 AWS 实例元数据?

    是否有一种直接的方法可以从 Docker 容器内访问 AWS 实例元数据 例如 当尝试在 EC2 实例上获取 IAM 角色的凭证时 这将适用于实例本身 http 169 254 169 254 latest meta data iam se

  • AWS 存储桶和区域

    该应用程序结合使用载波carrierwave aws宝石 在迁移 Rails 版本 升至 4 2 Ruby 版本 2 2 3 并重新部署到同一临时服务器时遇到了障碍 AWS 存储桶最初是在免费套餐中创建的 即俄勒冈州 us west 2 但

  • Kubernetes 基本 Pod 日志记录

    您好 我正在尝试设置基本日志记录以将所有 Pod 日志放在一个位置 以下是我创建的 pod spec 但在上述位置找不到日志的踪迹 下面的模板中可能缺少什么 apiVersion v1 kind Pod metadata name coun

  • 将mysql数据导入kubernetes pod

    有谁知道如何将我的 dump sql 文件中的数据导入到 kubernetes pod 中 直接 与处理 docker 容器的方式相同 docker exec i container name mysql uroot password se

  • 如何找到 JAR:/home/hadoop/contrib/streaming/hadoop-streaming.jar

    我正在练习有关 Amazon EMR 的复数视角视频教程 我被困住了 因为我收到此错误而无法继续 Not a valid JAR home hadoop contrib streaming hadoop streaming jar 请注意

  • 在 AWS Glue 中覆盖动态框架中的镶木地板文件

    我使用动态框架在 S3 中写入镶木地板文件 但如果文件已存在 我的程序会附加一个新文件而不是替换它 我用的句子是这样的 glueContext write dynamic frame from options frame table con

  • 在 EB 上的 Docker 中运行的应用程序拒绝连接到自身

    我有一个 Play 2 Web 应用程序 我使用 Docker 将其部署到 Elastic Beanstalk 在此 Web 应用程序中 我启动了一个 Akka 集群 启动过程涉及将自动伸缩组中的所有节点添加为种子节点 包括其自身 第一次部

  • ECS 上蓝/绿部署所需的 Cloudformation 脚本

    我正在尝试编写一个云形成模板具有蓝绿部署支持的 AWS ECS 这项蓝绿功能最近由 AWS 在 ECS 中添加 但在云形成模板中找不到任何更新它的参考 他们提供了有关如何通过 UI 而不是通过云形成来完成此操作的文档 我猜想 AWS 可能不

  • ECS任务定义中容器之间的通信

    我在 ECS 中运行了一个任务定义awsvpc模式 包含 2 个 docker 容器 我的问题是如何在任务定义中的容器之间进行通信 它们的行为与 docker compose 类似吗 awsvpc 网络模式下的任务中的多个容器将共享任务 E

  • Kubernetes 上的气流:Errno 13 - 权限被拒绝:'/opt/airflow/logs/scheduler

    我在 Kubernetes 上运行 Airflow稳定舵图 https github com helm charts tree master stable airflow 我在 AWS 环境中运行它 无论是否安装任何用于日志存储的外部卷 都

  • 如何不覆盖 Helm 模板中随机生成的秘密

    我想在 Helm 模板中生成密码 这很容易使用randAlphaNum功能 但是 当版本升级时 密码将会更改 有没有办法检查密码是否先前生成 然后使用现有值 像这样的事情 apiVersion v1 kind Secret metadata

  • 如何计算 OpenID Connect 服务器的指纹?

    创建 OpenID Connect 提供商 例如 AWS 时 我需要指定一个指纹对于连接器 它是什么 我如何获得它 例如 从如何在不使用密钥的情况下将 GitHub 操作与 AWS 部署连接起来 https stackoverflow co

  • 如何在没有部署 K8S 的情况下重启 pod?

    我部署了一个弹性搜索 https www elastic co elasticsearch使用此命令在 K8S 上集群helm install elasticsearch elastic elasticsearch 我可以看到 Pod 正在

  • 具有行为路径重定向的多个 Cloudfront 起源

    我有两个 S3 存储桶用作我的 Cloudfront 源服务器 example bucket 1 example bucket 2 两个存储桶的内容都位于这些存储桶的根中 我正在尝试将我的 Cloudfront 发行版配置为基于 URL 模

  • 如何配置手动预配的 Azure 托管磁盘以用作 Kubernetes 持久卷?

    我正在尝试运行Jenkins Helm 图表 https github com kubernetes charts tree master stable jenkins 作为此设置的一部分 我想传递我提前配置的持久卷 或者可能在迁移期间从另

  • 身份验证 AWS Cognito SRP

    我正在编写一个控制台 POC 来演示 AWS 认知身份验证 应用程序池而不是联合身份 作为我们的 API 网关身份验证机制 不在 AWS 中托管 这是用 C 编写的 我已经成功创建了一个用户 并确认了他们 但现在我需要进行身份验证以检索我可

随机推荐

热门标签