默认 Amazon EKS Kubernetes 角色和用户
在 1.20 和更高版本的集群中,Amazon EKS 会为每个 Kubernetes 组件创建身份。Amazon EKS 团队已创建以下对象来为组件提供 RBAC 权限:
角色
-
eks:authenticator
-
eks:certificate-controller-approver
-
eks:certificate-controller
-
eks:cluster-event-watcher
-
eks:fargate-scheduler
-
eks:k8s-metrics
-
eks:nodewatcher
-
eks:pod-identity-mutating-webhook
角色绑定
-
eks:authenticator
-
eks:certificate-controller-approver
-
eks:certificate-controller
-
eks:cluster-event-watcher
-
eks:fargate-scheduler
-
eks:k8s-metrics
-
eks:nodewatcher
-
eks:pod-identity-mutating-webhook
用户
-
eks:authenticator
-
eks:certificate-controller
-
eks:cluster-event-watcher
-
eks:fargate-scheduler
-
eks:k8s-metrics
-
eks:nodewatcher
-
eks:pod-identity-mutating-webhook
除了上述对象之外,Amazon EKS 还在集群引导过程中对 kubectl
操作使用特殊的用户身份 eks:cluster-bootstrap
。Amazon EKS 还对集群管理操作使用特殊的用户身份 eks:support-engineer
。所有用户身份都会出现在 kube
审计日志中,可通过 CloudWatch 提供给客户。
运行 kubectl describe clusterrole <rolename>
以查看每个角色的权限。