Anh DevOps nghỉ rồi, tụi em để nguyên cái map IAM đó luôn, ai vào cũng được!
Audit EKS mà thấy aws-auth ConfigMap cho phép một IAM user test từ năm ngoái vẫn có quyền admin, tôi chỉ muốn chửi: “Đ.M, sao không đứa nào xoá”. Cluster như nhà không khóa, ai có chìa là vào phá.
 |
| aws-auth ConfigMap của bạn khi không audit |
Thực trạng: aws-auth lỏng lẻo
Thực trạng:
- ConfigMap aws-auth không audit: IAM user/role cũ vẫn có quyền admin cluster.
- Quyền quá rộng: Dev/test account có quyền system:masters, xóa pod, chỉnh config thoải mái.
- Không dùng IRSA: Gán quyền trực tiếp vào node hoặc pod, khó quản lý.
Hệ quả:
- Rủi ro bảo mật: User cũ hoặc hacker có kubeconfig xâm nhập cluster.
- Quản lý rối: Không biết ai đang có quyền gì.
- Lỗi không trace được: Ai xóa pod? Không ai biết!
Giải pháp: Audit và dùng IRSA
Để khóa chặt:
- Audit aws-auth định kỳ: Kiểm tra ConfigMap, xóa user/role không còn dùng.
- Dùng IRSA: Gán IAM role cho ServiceAccount, thay vì quyền toàn cụm.
- Phân quyền chi tiết: Chỉ cấp quyền cần thiết (ví dụ: kubectl get pods cho dev).
Ví dụ: IRSA cho pod truy cập S3:
apiVersion: v1kind: ServiceAccountmetadata: name: my-sa annotations: eks.amazonaws.com/role-arn: arn:aws:iam::123456789012:role/my-role🎯 Tóm lại: aws-auth lỏng lẻo là “lời mời” hacker. Audit định kỳ, dùng IRSA, và phân quyền chi tiết để cluster an toàn.
Đăng nhận xét