Quyền truy cập nhóm
Quyền truy cập nhóm
- Burnham Team, chỉ có quyền truy cập vào các tài nguyên trong namespace dành riêng của họ cùng với việc chứng minh cách chúng ta có thể sử dụng Kubernative native construct để đảm bảo rằng chỉ những người dùng trong team-burnham namespace có thể truy cập các tài nguyên đó. Đây còn được gọi là soft multi-tenancy bạn đang sử dụng các Kubernetes constructs như namespaces, quotas, và network policies để ngăn các ứng dụng được triển khai trong các namespace khác nhau giao tiếp với nhau.
kubectl describe role -n team-burnham
Bạn có thể thấy rằng Team Burnham chỉ có thể get và list một tập hợp các tài nguyên Kubernetes tập trung vào ứng dụng (pods, daemonsets, deployments, replicasets, statefulsets, và jobs). Bạn sẽ nhận thấy rằng họ không có quyền create hoặc delete tài nguyên trong namespace tương ứng của họ.
- Truy xuất role đã tạo cho Team burnham bằng cách chạy lệnh sau:
aws cloudformation describe-stacks --stack-name dev-dev-blueprint | jq -r '.Stacks[0].Outputs[] | select(.OutputKey|match("burnhamteamrole"))| .OutputValue'
- Tạo thông tin đăng nhập cho application
aws iam create-login-profile --user-name application --password Ekscdkworkshop123!
-
Truy cập vào AWS
- Thực hiện đăng nhập với IAM user
- Nhập Account ID của bạn
- Chọn Next
-
Tiếp theo,
- Nhập IAM user name là application
- Nhập password vừa tạo
- Chọn Sign in
- Hoàn thành đăng nhập
-
Trong giao diện AWS
- Chọn Switch role
-
Trong giao diện Switch Role
- Account, nhập Account ID của bạn
- Sau đó, nhập Role
- Chọn Switch Role
- Hoàn thành Switch Role
- Truy cập vào EKS
- Tại đây, bạn sẽ thấy thông báo lỗi cho biết rằng người dùng Team Burnham KHÔNG được phép liệt kê các triển khai trong tất cả các namespace.
- Khi bạn chọn team-burnham trong namespace, bạn sẽ thấy thông báo bị cấm biến mất. Điều này có nghĩa là bạn hiện đang hiển thị workload của Team Burnham (không có workload nào vì chưa triển khai bất kỳ workload nào).