看一下如何实现kube2iam的各种示例,我在努力理解为什么工作节点要假定的策略的信任关系需要允许两个原则。 即ec2服务以及工作节点的角色。
这在这里描述:-https://gist.github.com/snoby/77a49b6b79d0dd2ad9afbbf533588f54
按照我的理解,仅允许对Worker节点角色的信任关系就足够了。
即 答:WorkerNode可以调用sts:AssumeRole B. WokerNode角色<--- TargetRole(信任关系)
这显示在:-https://marcincuber.medium.com/amazon-eks-iam-roles-and-kube2iam-4ae5906318be
但是,在许多示例中,也有
C. ec2 service <--- TargetRole (trust relationship)
C点真的必要吗?
kube2iam GitHub页面指向下面的URL进行解释,但在下面的解释中提到了它:-
AWS AssumeRole authorization not working
在此示例中,我必须添加具有正确帐号的“ AWS”主体,ec2.amazonaws.com服务已经存在。
因此,这使我相信目标角色的信任策略实际上并不需要为Service:ec2.amazonaws.com定义关系。
实际上,下面的文章似乎还暗示,无需授予对ec2.amazonaws.com的信任关系