Recuperación de información de IAM sobre un complemento de Amazon EKS - Amazon EKS

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Recuperación de información de IAM sobre un complemento de Amazon EKS

Antes de crear un complemento, utilice la AWS CLI para determinar lo siguiente:

  • Si el complemento requiere permisos de IAM

  • La política de IAM que se recomienda utilizar

Recuperar información de IAM sobre un complemento de Amazon EKS (AWS CLI)

  1. Determine el nombre del complemento que quiere instalar y la versión de Kubernetes del clúster. Para obtener más información sobre los complementos, consulte Complementos de Amazon EKS.

  2. Utilice AWS CLI para determinar si el complemento requiere permisos de IAM. 

    aws eks describe-addon-versions \
--addon-name <addon-name> \
--kubernetes-version <kubernetes-version>

    Por ejemplo:

    aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30

    Revise la siguiente salida de ejemplo. Tenga en cuenta que requiresIamPermissions es true y la versión predeterminada del complemento. Debe especificar la versión del complemento al recuperar la política de IAM recomendada.

    {
    "addons": [
        {
            "addonName": "aws-ebs-csi-driver",
            "type": "storage",
            "addonVersions": [
                {
                    "addonVersion": "v1.31.0-eksbuild.1",
                    "architecture": [
                        "amd64",
                        "arm64"
                    ],
                    "compatibilities": [
                        {
                            "clusterVersion": "1.30",
                            "platformVersions": [
                                "*"
                            ],
                            "defaultVersion": true
                        }
                    ],
                    "requiresConfiguration": false,
                    "requiresIamPermissions": true
                },
[...]

  3. Si el complemento requiere permisos de IAM, utilice AWS CLI para recuperar una política de IAM recomendada. 

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name <addon-name> \
--addon-version <addon-version>

    Por ejemplo:

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1

    Revise la siguiente salida. Anote el recommendedManagedPolicies.

    [
    {
        "serviceAccount": "ebs-csi-controller-sa",
        "recommendedManagedPolicies": [
            "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
        ]
    }
]

  4. Cree un rol de IAM y adjunte la política administrada recomendada. Como alternativa, revise la política administrada y reduzca los permisos según corresponda. Para obtener más información, consulte Creación de la asociación de Pod Identity de EKS.