kubernetes - AWS EKS 集群的 "cluster creator"用户如何映射到 "system:masters"RBAC 组？

Question

我试图了解如何为在 AWS 内创建 EKS 集群的第一个用户管理 RBAC 授权。
或者换句话说:集群创建者如何映射到 RBAC 中的“system:masters”组？
我知道这个 doc声明:“当您创建 Amazon EKS 集群时，IAM 实体用户或角色(例如创建集群的联合用户)会在集群的 RBAC 配置中自动获得 system:masters 权限。”
我了解 clusterrole cluster-admin 和 clusterrolebinding cluster-admin 如何向“system:masters”组的任何成员授予完全管理权限。
我想不通的是集群创建者用户如何/在哪里映射到这个组？ (文档的“自动授予”部分)
PS:我知道要添加额外的用户/角色，我应该使用 aws-auth configmap，但是这里没有定义第一个用户，并且仍然可以访问集群。
如果有人可以启发我吗？
提前致谢!
作为记录，我使用的是 kubernetes 1.18 EKS 集群，该集群是通过社区模块 here 使用 terraform 构建的。 :

module "cluster" {
  source  = "terraform-aws-modules/eks/aws"
  version = "13.2.1"

  cluster_version = "1.18"
  cluster_name    = "memorandom-${local.id}"
  vpc_id          = module.vpc.vpc_id
  subnets         = module.vpc.private_subnets

  write_kubeconfig = false
  manage_aws_auth  = true

  worker_groups = [
    {
      instance_type = "t3.medium"
      asg_max_size  = 3
      key_name      = "pbenefice"
    }
  ]

  tags = local.tags
}

Answer 1

所以我就这个主题联系了 AWS Support。总结一下答案是:“你问的大部分是 secret 信息，不能透露。”。
我把完整的回复贴在这里:

感谢您联系 AWS 高级支持。我的名字是 *，我知道您对集群创建者作为 system:masters 组的一部分的实现细节感到好奇。
您询问的大部分内容都是 secret 信息，不能透露。
但是，我可以告诉您 EKS 控制平面有一个 Authenticator 组件。您可以按照此处 [1] 的描述为此启用日志。
就个人而言，我喜欢将文档的“自动授予”部分视为 mapUsers: 下的虚构的只读永久对象。 aws-auth 配置映射的部分。虚构，因为它没有在 aws-auth configmap 中实现，但它被授予的权限与它在那里一样。我在下面的示例中创建了一个虚构的集群创建者用户对象 [2]，它显示了有效的实现
[1]:Amazon EKS 控制平面日志记录 - https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html
[2]:示例 aws-auth configmap

apiVersion: v1
data:
  mapRoles: |
    - rolearn: arn:aws:iam::111122223333:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF
      username: system:node:{{EC2PrivateDNSName}}
      groups:
        - system:bootstrappers
        - system:nodes
  mapUsers: |
    # The way EKS currently bootstraps your cluster permissions, you can think of the cluster-creator having a
    # read-only permanent entry here - the effective permissions are the same
    - userarn: arn:aws:iam::111122223333:user/cluster-creator
      username: cluster-creator
      groups:
        - system:masters
    # In an actual aws-auth configmap, the cluster-creator entry above isn't there and
    # only the mapUsers below would be shown
    - userarn: arn:aws:iam::111122223333:user/admin
      username: admin
      groups:
        - system:masters
    - userarn: arn:aws:iam::111122223333:user/ops-user
      username: ops-user
      groups:
        - system:masters

关于集群创建者 RBAC 权限的最重要的实际注意事项是:

创建集群的 IAM 实体(用户或角色)将始终具有管理员权限(system:masters 权限)

如果 IAM 实体被删除，而其他 IAM 实体没有被添加到 aws-auth 配置映射所需的权限 - 您有两个选择:

您必须重新创建具有相同名称的 IAM 实体才能重新获得对集群的访问权限，或者

删除集群并使用新的 IAM 实体创建新集群

我知道这可能不是您所希望的全部信息，但我希望它有助于满足您的部分好奇心。
由于我无法深入回答您的问题，因此我会继续解决您的问题。
我希望您有美好的一天，请随时与我们联系。