EKS Pod Identity が必要とする信頼ポリシーを使用して IAM ロールを作成する


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}

sts:AssumeRole

EKS Pod Identity は一時的な認証情報をポッドに渡す前に、AssumeRole を使用して IAM ロールを引き継ぎます。

sts:TagSession

EKS Pod Identity は、AWS STS へのリクエストにセッションタグを含めるために TagSession を使用します。

これらのタグを信頼ポリシーの [.noloc]`condition keys` で使用して、このロールを使用できるサービスアカウント、名前空間、およびクラスターを制限できます。

Amazon EKS 条件キーのリストについては、「サービス認可リファレンス」の「Amazon Elastic Kubernetes Service によって定義された条件」を参照してください。条件キーを使用できるアクションとリソースについては、「Amazon Elastic Kubernetes Service で定義されるアクション」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

EKS Pod Identity エージェントで IPv6 を無効にする

サービスアカウントの IAM ロール