在Amazon EKS用户指南中,有a page专用于通过使用同名的第三方工具AWS ALB Ingress Controller for Kubernetes创建ALB入口 Controller 。
EKS用户指南和 Controller 文档均具有有关如何设置 Controller 的自己的演练。
walkthrough provided by the controller让您要么将您的AWS密钥硬编码到Deployment list 中,要么安装另一个名为Kube2iam的第三方工具。
walkthrough in the AWS EKS user guide让您发布完全相同的Deployment list ,但是您根本不需要修改它。相反,您可以为 Controller 创建一个IAM角色(第5步)和一个Kubernetes服务帐户(第4步),然后通过使用IAM角色的ARN注释服务帐户将它们链接在一起。表面看来,这似乎是Kube2iam的目的。
这使我得出以下三个结论之一,我以合理的大概顺序排列:
eksctl将Kube2iam作为associate-iam-oidc-provider的一部分安装在幕后。 有人碰巧知道它是谁吗?为什么AWS演练不需要我安装Kube2iam?
最佳答案
是的,我可以权威地回答这个问题。在09/2019 we launched中,EKS中的一个功能称为IAM Roles for Service Accounts。这使得kube2iam和其他解决方案变得过时,因为我们现在原生支持Pod级别的最小特权访问控制。
同样,是的,应该更新ALB IC演练。