AWS EKS - 创建集群最低 IAM 权限(拒绝访问)
AWS EKS - Create cluster minimum IAM permissions (AccessDenied)
有谁知道允许用户创建 EKS 集群的最低 IAM 权限应该是多少?
我假设一个角色只是使用 Terraform 创建一个集群,并且该角色在其定义的策略中有以下语句(仅此而已):
{
"Sid": "AllowEKSCreate",
"Effect": "Allow",
"Action": [
"eks:List*",
"eks:Describe*",
"eks:CreateCluster",
"ec2:Describe*"
],
"Resource": "*"
},
{
"Sid": "AllowEKSAll",
"Effect": "Allow",
"Action": "eks:*",
"Resource": "arn:aws:eks:eu-west-1:XXXXXXXXXX:cluster/my-cluster"
}
在 CloudTrail 中我只看到:
AWS access key: XXXXXXXX
AWS region: eu-west-1
Error code: AccessDenied
Event ID: XXXXXXXX
Event name: CreateCluster
Event source: eks.amazonaws.com
成功事件:
- sts:GetCallerIdentity
- ec2:DescribeAccountAttributes
CloudTrail 中不存在其他不成功的事件。
找到了!
缺少对群集 IAM 角色资源的 iam:PassRole 权限。
出于某种原因,CloudTrail 没有透露该信息:(
P.S。
我想我的问题已经说得很清楚了,所以想知道为什么有人会给我 -1。
有谁知道允许用户创建 EKS 集群的最低 IAM 权限应该是多少?
我假设一个角色只是使用 Terraform 创建一个集群,并且该角色在其定义的策略中有以下语句(仅此而已):
{
"Sid": "AllowEKSCreate",
"Effect": "Allow",
"Action": [
"eks:List*",
"eks:Describe*",
"eks:CreateCluster",
"ec2:Describe*"
],
"Resource": "*"
},
{
"Sid": "AllowEKSAll",
"Effect": "Allow",
"Action": "eks:*",
"Resource": "arn:aws:eks:eu-west-1:XXXXXXXXXX:cluster/my-cluster"
}
在 CloudTrail 中我只看到:
AWS access key: XXXXXXXX
AWS region: eu-west-1
Error code: AccessDenied
Event ID: XXXXXXXX
Event name: CreateCluster
Event source: eks.amazonaws.com
成功事件:
- sts:GetCallerIdentity
- ec2:DescribeAccountAttributes
CloudTrail 中不存在其他不成功的事件。
找到了!
缺少对群集 IAM 角色资源的 iam:PassRole 权限。
出于某种原因,CloudTrail 没有透露该信息:(
P.S。 我想我的问题已经说得很清楚了,所以想知道为什么有人会给我 -1。