1

似乎我们无法让 Snowplow 容器(snowplow/scala-stream-collector-kinesis)使用我们提供的服务帐户。它始终使用shared-eks-node-role但不使用提供的服务帐户。配置都设置default为.accessKeysecretKey

这是我们使用的服务帐户部分:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: thijs-service-account
  annotations:
    eks.amazonaws.com/role-arn: arn:aws:iam::123:role/thijs-eks-service-account-role-snowplow

当我检查 pod 时,我可以看到该帐户:

AWS_ROLE_ARN:                 arn:aws:iam::123:role/thijs-eks-service-account-role-snowplow

然后错误显示不正确的帐户。

Exception in thread "main" com.amazonaws.services.kinesis.model.AmazonKinesisException: User: arn:aws:sts::123:assumed-role/shared-eks-node-role/i-123 is not authorized to perform: kinesis:DescribeStream on resource: arn:aws:kinesis:eu-west-1:123:stream/snowplow-good (Service: AmazonKinesis; Status Code: 400; Error Code: AccessDeniedException; Request ID: 123-123-123; Proxy: null)
4

2 回答 2

1

收集器本身不进行任何角色交换。它只关心通过以下三种方法之一接收凭据:

  • 默认的信用提供者链
  • 特定的 IAM 角色
  • 环境变量。

最流行的部署是在 EC2 实例上,在这种情况下,默认 EC2 角色可用于访问账户中的其他资源。

看起来当您在 EKS 上部署它时,事情并不那么简单。收集器似乎使用这个假定的角色:arn:aws:sts::123:assumed-role/shared-eks-node-role/i-123但它没有获得 Kinesis 权限。你知道是什么过程创造了这个角色吗?也许您可以在那里添加缺少的 Kinesis 策略?

于 2021-05-12T08:37:10.217 回答
0

我有同样的问题。

它不能env用于值,因为没有设置。但是,收集器作为容器运行 - 它应该使用默认凭证链。

从注释中,看起来没有env设置变量,我应该使用iam- 当我这样做时,它使用 IAM Instance Profile,它加载底层节点角色 - 而不是 SA 指定的角色。

SDK 支持 IRSA(我已将扫雪机收集器容器映像更新为 1,根据支持的版本支持大于 1.11.704 的 SDK ),从收集器文档中我可以看到,流配置需要一个awsenviam作为值......但我想使用默认凭证链而不指定方法......

如果我连接到容器,我可以看到凭据是根据 SA 设置的:

$ env | grep -i aws
AWS_REGION=my-region
AWS_DEFAULT_REGION=my-region
AWS_ROLE_ARN=arn:aws:iam::<redacted>:role/sp-collector-role
AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/eks.amazonaws.com/serviceaccount/token

但是当我运行收集器时,它仍然使用节点 IAM 实例配置文件,并且在sp-collector-role. 有没有办法使用默认凭证链?例如,在同一服务帐户中的容器上使用 aws CLI,我没有指定任何凭据,但是当我运行aws sts get-caller-identitySDK 时,会正确解析IRSA角色。

于 2021-07-12T23:08:33.397 回答