Question

有人知道允许用户创建EKS群集的最低IAM权限是什么吗？

我假设一个角色只是使用Terraform创建集群，并且该角色在其策略中定义了以下语句（仅此而已）：

        {
            "Sid": "AllowEKSCreate",
            "Effect": "Allow",
            "Action": [
                "eks:List*",
                "eks:Describe*",
                "eks:CreateCluster",
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowEKSAll",
            "Effect": "Allow",
            "Action": "eks:*",
            "Resource": "arn:aws:eks:eu-west-1:XXXXXXXXXX:cluster/my-cluster"
        }

在CloudTrail中，我只会看到：

AWS access key: XXXXXXXX
AWS region: eu-west-1
Error code: AccessDenied
Event ID: XXXXXXXX
Event name: CreateCluster
Event source: eks.amazonaws.com

成功事件：

sts：GetCallerIdentity
ec2：DescribeAccountAttributes

CloudTrail中没有其他任何不成功的事件。

Answer 1

找到了！

缺少的权限是群集IAM角色资源上的iam:PassRole。

出于某种原因，CloudTrail不会显示该信息：（

P.S。我想我已经很清楚地提出了我的问题，所以我想知道为什么有人会给我-1。

AWS EKS-创建群集最低IAM权限（AccessDenied）

1 个答案: