0

仅授予 EKSCTL 访问权限是否足够

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "autoscaling:DescribeLaunchConfigurations",
                "autoscaling:DescribeTags",
                "autoscaling:SetDesiredCapacity"
            ],
            "Resource": "*"
        }
    ]
}

为了eksctl scale nodegroup --cluster cluster_name --nodes-min=1 --nodes-max=2 --nodes=1 nodegroup_name

以及如何将策略限制为仅扩展特定的组或集群?

4

1 回答 1

0

eksctl在 CloudFormation 堆栈上运行。cloudformation:因此,除了只读访问权限之外,您的策略应该授予对 的写访问权限autoscaling:(我相信需要后者来将 ASG 的当前参数与所需参数进行比较,但需要测试并确认才能确定)。

您应该能够在策略中使用通配符Resource来限制对与特定命名模式匹配的 CloudFormation 堆栈的写入访问。例如eksctl-created 堆栈中始终包含集群名称。

于 2021-01-22T16:32:32.267 回答