问题描述
在使用EKS时,通过控制台使用联合IAM管理员创建了一个集群。但是,他无法通过kubectl访问集群,因为他必须使用另一个具有编程访问权限的IAM身份。他猜测可能有一些与STS相关的技巧,但他没有根帐户的访问密钥。他认为如果给予他想要使用的IAM身份图形访问权限,问题可能会解决,但他想知道在当前情况下是否有其他方法。在给定的场景中,不允许使用aws-cli进行创建。创建我的用户的管理员不会允许我的联合IAM具有访问密钥。
解决方案
请注意以下操作注意版本差异及修改前做好备份。
解决方案1
管理IAM用户的唯一方法是使用具有IAM管理员权限的适当帐户。
如果您丢失了根帐户,可以联系AWS支持,参见恢复AWS帐户密码。
解决方案2
根据您的描述,您创建了一个没有编程访问权限的IAM用户来创建EKS集群。在这种情况下,唯一的解决方案是创建另一个IAM身份来创建集群,并为其提供编程访问权限。作为一个来自OKTA的联合用户,您拥有管理员权限,但在创建的身份上使用控制台是一种安全隐患,因此您只允许登录、创建集群,然后禁用控制台访问。然后,您可以使用新创建的身份使用kubectl来控制集群,并从auth configmap中添加其他IAM身份。
正文完