IAMperan untuk EKS add-on Amazon - Amazon EKS

Bantu tingkatkan halaman ini

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMperan untuk EKS add-on Amazon

EKSAdd-on Amazon tertentu memerlukan IAM peran dan izin untuk menelepon. AWS APIs Misalnya, VPC CNI add-on Amazon memanggil tertentu AWS APIs untuk mengonfigurasi sumber daya jaringan di akun Anda. Add-on ini perlu diberikan izin menggunakanIAM. Lebih khusus lagi, akun layanan pod yang menjalankan add-on perlu dikaitkan dengan IAM peran dengan IAM kebijakan tertentu.

Cara yang disarankan untuk memberikan AWS izin ke beban kerja klaster adalah dengan menggunakan EKS fitur Amazon Pod Identities. Anda dapat menggunakan Asosiasi Identitas Pod untuk memetakan akun layanan add-on ke IAM peran. Jika sebuah pod menggunakan akun layanan yang memiliki asosiasi, Amazon akan EKS menetapkan variabel lingkungan dalam container pod. Variabel lingkungan mengonfigurasi AWS SDKs, termasuk AWS CLI, untuk menggunakan kredensial EKS Pod Identity. Untuk informasi selengkapnya, lihat Pelajari lebih lanjut tentang Identitas EKS Pod.

EKSAdd-on Amazon dapat membantu mengelola siklus hidup asosiasi identitas pod yang sesuai dengan add-on. Misalnya, Anda dapat membuat atau memperbarui EKS add-on Amazon dan asosiasi identitas pod yang diperlukan dalam satu API panggilan. Amazon EKS juga menyediakan API untuk mengambil IAM kebijakan yang disarankan.

Penggunaan yang Disarankan:

  1. Konfirmasikan bahwa agen identitas EKS pod Amazon telah disiapkan di klaster Anda.

  2. Tentukan apakah add-on yang ingin Anda instal memerlukan IAM izin menggunakan operasi. describe-addon-versions AWS CLI Jika requiresIamPermissions benderanyatrue, maka Anda harus menggunakan describe-addon-configurations operasi untuk menentukan izin yang diperlukan oleh addon. Tanggapan tersebut mencakup daftar IAM kebijakan terkelola yang disarankan.

  3. Ambil nama Akun Layanan Kubernetes dan IAM kebijakan menggunakan operasi. describe-addon-configuration CLI Evaluasi ruang lingkup kebijakan yang disarankan terhadap persyaratan keamanan Anda.

  4. Buat IAM peran menggunakan kebijakan izin yang disarankan, dan kebijakan kepercayaan yang diperlukan oleh Pod Identity. Untuk informasi selengkapnya, lihat Membuat asosiasi Identitas Pod EKS.

  5. Buat atau perbarui EKS add-on Amazon menggunakan file. CLI Tentukan setidaknya satu asosiasi identitas pod. Asosiasi identitas pod adalah nama akun Kubernetes layanan, dan IAM peran. ARN

Pertimbangan:

  • Asosiasi identitas Pod yang dibuat menggunakan add-on APIs dimiliki oleh add-on masing-masing. Jika Anda menghapus add-on, asosiasi identitas pod juga akan dihapus. Anda dapat mencegah penghapusan cascading ini dengan menggunakan preserve opsi saat menghapus addon menggunakan or. AWS CLI API Anda juga dapat langsung memperbarui atau menghapus asosiasi identitas pod jika perlu. Add-on tidak dapat mengasumsikan kepemilikan asosiasi identitas pod yang ada. Anda harus menghapus asosiasi yang ada dan membuatnya kembali menggunakan add-on membuat atau memperbarui operasi.

  • Amazon EKS merekomendasikan penggunaan asosiasi identitas pod untuk mengelola IAM izin untuk add-on. Metode sebelumnya, IAM peran untuk akun layanan (IRSA), masih didukung. Anda dapat menentukan asosiasi identitas IRSA serviceAccountRoleArn dan pod untuk add-on. Jika agen identitas EKS pod diinstal pada cluster, serviceAccountRoleArn akan diabaikan, dan EKS akan menggunakan asosiasi identitas pod yang disediakan. Jika Pod Identity tidak diaktifkan, serviceAccountRoleArn maka akan digunakan.

  • Jika Anda memperbarui asosiasi identitas pod untuk add-on yang ada, Amazon EKS memulai restart bergulir dari pod add-on.