Я запустил пару кластеров через KOPS и, будучи новичком в подготовке кластеров k8s, поделился всей конфигурацией kube файл с моей командой. Я ошибочно предположил, что могу легко изменить имя пользователя и пароль, чтобы разработчики, покинувшие компанию, не могли пройти аутентификацию, если у них был файл конфигурации kube.
Пример пользовательского раздела выглядит примерно так:
- name: kubernetes.example.com
user:
client-certificate-data: REDACTED
client-key-data: REDACTED
password: REDACTED
username: REDACTED
Когда я меняю пароль, я все еще могу пройти аутентификацию. Но удаляя разделы сертификата я становлюсь неавторизованным. Я установил aws-iam-Authenticator, и он работает отлично, но проверка подлинности сертификата по-прежнему работает, указывая на то, что любой, у кого есть доступ к исходной конфигурации kube, по-прежнему сможет пройти проверку подлинности на сервере.
Есть ли какой-либо простой способ, помимо перезапуска нового кластера, для ротации этих сертификатов или полного отключения аутентификации сертификата и просто перехода к аутентификации AWS?