EKS 文档说
“当您创建 Amazon EKS 集群时,会自动授予 IAM 实体(用户或角色)在集群的 RBAC 配置中的 system:master 权限”。
但是在 EKS 集群创建之后,如果您检查 aws-auth 配置映射,它没有 ARN 映射到system:masters组。但我可以通过 kubectl 访问集群。因此,如果 aws-auth(heptio 配置映射)没有将我的 ARN(我是创建 EKS 集群的人)映射到system:masters组,那么 heptio aws 身份验证器如何对我进行身份验证?
我知道答案了。基本上在 heptio 服务器端组件上,system:master 的静态映射在 /etc/kubernetes/aws-iam-authenticator/ 下完成(https://github.com/kubernetes-sigs/aws-iam-authenticator#3- configure-your-api-server-to-talk-to-the-server),它安装在 heptio 身份验证器 pod 中。由于您在 EKS 中无权访问它,因此您看不到它。但是,如果您确实使用预签名请求调用 /authenticate 自己,您应该从 heptio 身份验证器获得 TokenReviewStatus 响应,显示 ARN(创建集群)到 system:master 组的映射!
创建集群时,您还安装aws-iam-authenticator了~/.aws/credentials.
如果你检查aws-auth文件,你可以看到它aws-iam-authenticator在里面。
您也有~/.kube/config文件,您可以在其中看到iam-authenticator将您的映射AWS-PROFILE为ConfigMap.
所以当你运行kubectl command它时,它会读取 kube 配置文件来对你的集群进行身份验证。