AWS Kubernetes Cluster Service permission

Fórumok

Hi!

AWS Student fiókban tesztelem a kubernetes-t.

Milyen jogosultság kell cluster létrehozásához? Ill. hol kel beállítani? A neten talált infókkal nem sokra mentem...

... is not authorized to perform: eks:CreateCluster on resource: arn:aws:eks:us-east-1:548571543228:cluster/mycluster-01 with an explicit deny

Hozzászólások

Nem tudom mit tesz az a Student fiók de  nekem az a tippem az üzenetből hogy az EKS kifejezetten tiltva van benne. Esetleg megpróbálhatnád európai régióval.

En a kovetkezoket szoktam hasznalni:

Megkeresni az AWS "gyari" IAM policy-jeit:

- arn:aws:iam::aws:policy/AmazonEKSClusterPolicy
- arn:aws:iam::aws:policy/AmazonEKSServicePolicy
- arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
- arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy - opcionalis, ha pl FSx-et akasz hasznalni shared storage providernek
- arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPolicyReadOnly - hogy tudjon image-et letolteni

Letrehozni ket sajat IAM policy document-et, az elso az eks_cluster_role-hoz fog kelleni:
 

  statement {
    effect = "Allow"
    actions = ["sts:AssumeRole"]
    principals {
      identifiers = ["eks.amazonaws.com"]
      type = "Service"
    }
  }

A masodik az eks_nodegroup_role-hoz:
 

  statement {
    effect = "Allow"
    actions = ["sts:AssumeRole"]
    principals {
      identifiers = ["ec2.amazonaws.com"]
      type = "Service"
    }
  }

Letrehozni ket IAM role-t:

- eks_cluster_role, ezt fogja az EKS cluster resource kapni, a policy document-je legyen a fentebbi assume_role_policy, az attacholt policy-k pedig legyenek a
  - AmazonEKSClusterPolicy
  - AmazonEKSServicePolicy

- eks_nodegroup_role, ezt pedig az EKS nodegroup resource fogja kapni, policy documentje legyen a masodik assume_role_policy, ehhez a role-hoz attach-olni a
  - AmazonEKSWorkerNodePolicy-t,
  - a AmazonEC2ContainerRegistryPolicyReadOnly-t
  - es szukseg eseten AmazonEKS_CNI_Policy-t
 

Vegul letrehozni az eks_cluster es eks_nodegroup resource-ot, megadva a megfelelo eks_cluster_role-t, valamint az eks_nodegroup_role-t.

Eleg komplikalt az egesz, ennel szerintem mar erdemes elgondolkodni valami IaC (mondjuk terraform) megoldason, mert kezzel egyszer ugyan osszekattogtatod, de ha valami hianyzik vagy hiba van benne, utana a Kubernetes szintjen kidebuggolni egy remalom.

Régóta vágyok én, az androidok mezonkincsére már!