通过Internet搜索,我发现EKS仅为IAM用户启用IAM身份验证。
是否可以手动配置客户端证书认证?我的意思是,在内部创建Kubernetes用户和角色,而不使用IAM身份验证。
答案 0 :(得分:0)
Kubernetes支持多个身份验证模块,例如:
X509客户端证书
服务帐户令牌
OpenID Connect令牌
Webhook令牌认证
验证代理等。
您可以在official documentation中找到有关它们的更多详细信息。
但是,Amazon EKS仅使用一种特定的身份验证方法,即Webhook令牌身份验证的实现来对Kube API请求进行身份验证。该webhook服务由称为AWS IAM Authenticator的开源工具实现,该工具同时具有客户端和服务器端。
简而言之,客户端发送一个令牌(其中包括AWS IAM身份-用户或角色-进行API调用),该令牌已通过Webhook服务在服务器端进行了验证。
因此,您的问题的答案是:如果您选择使用EKS,则只有一个身份验证选项,即IAM。
我希望它会有所帮助。