#amazon-web-services #amazon-iam #aws-auto-scaling #eksctl
#amazon-веб-сервисы #amazon-iam #aws-автоматическое масштабирование #eksctl
Вопрос:
Достаточно ли предоставить доступ к EKSCTL только для
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeLaunchConfigurations",
"autoscaling:DescribeTags",
"autoscaling:SetDesiredCapacity"
],
"Resource": "*"
}
]
}
для того, чтобы eksctl scale nodegroup --cluster cluster_name --nodes-min=1 --nodes-max=2 --nodes=1 nodegroup_name ?
И как я могу ограничить политику масштабированием только определенных групп или кластеров?
Ответ №1:
eksctl работает на стеках CloudFormation. Таким образом, ваша политика должна предоставлять доступ на запись cloudformation: в дополнение к доступу только для чтения autoscaling: (я считаю, что последнее необходимо для сравнения текущих параметров ASG с желаемыми, но для уверенности необходимо будет протестировать и подтвердить).
Вы должны иметь возможность использовать подстановочные знаки в политике Resource , чтобы ограничить доступ на запись к стекам CloudFormation, соответствующим определенному шаблону именования. например eksctl . -в созданных стеках всегда есть имя кластера.