AWS EKS Access Management

假设你有两个集群：平台和工作负载。 平台集群 包含你主要的网站，以及所有支撑的服务。平台集群充当控制平面，集中管理并协调工作负载。工作负载集群提供工作负载节点，充当数据平面。当然，您可以在单个集群中实现这一切，但您可能希望在不影响平台的情况下，对工作负载进行细粒度的自动扩展。

AWS EKS Authentication & Authorization

我不想详谈 AWS 和 K8s API 集成的细节，我只想概述一下实现上述场景的各种 EKS 方法。多年来，解决这一架构的方案不断发展，眨眼间你就会错过。

考虑到上述架构，我们实际上需要两种不同的权限：

• 创建/删除 AWS 资源的权限

• 创建 Kubernetes 资源（+ 跨集群）的权限

有四种由 AWS 管理的选项可供选择：

Auth Solution	AWS Perms	K8s Perms
aws-auth (2018) (deprecated)	❌	✔
IRSA (2019)	✔	✔
EKS Pod Identities (2023)	✔	✔
EKS Cluster Access Management (2023)	❌	✔

AWS Perms 是指集群与 AWS 资源交互的能力。K8s Perms 是指作为一种供应者的能力，即管理 K8s 资源（如创建 pod）的能力。

参考资料

AWS EKS Access Management & Permissions