Amazon EKS Pod 執行 IAM 角色 - Amazon EKS
檢查是否已正確設定現有的 Pod 執行角色建立 Amazon EKS Pod 執行角色

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要提供此使用者指南,請選擇位於每個頁面右窗格中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EKS Pod 執行 IAM 角色

在 AWS Fargate 基礎設施上執行 Pod 需要 Amazon EKS Pod 執行角色。

當您的叢集在 AWS Fargate 基礎設施上建立 Pod 時,在 Fargate 基礎設施上執行的元件必須代表您呼叫 AWS APIs。如此一來,他們可以執行動作,例如從 Amazon ECR 提取容器映像,或將日誌路由到其他 AWS 服務。Amazon EKS Pod 執行角色提供執行此操作的 IAM 許可。

建立 Fargate 設定檔時,您必須為使用設定檔在 Fargate 基礎設施上執行的 Amazon EKS 元件指定 Pod 執行角色。此角色會新增至叢集的 Kubernetes 角色型存取控制 (RBAC) 以進行授權。這可讓在 Fargate 基礎設施上執行kubelet的 向 Amazon EKS 叢集註冊,使其可以作為節點出現在叢集中。

注意

Fargate 設定檔的 IAM 角色必須與 Amazon EC2 節點群組不同。

重要

在 Fargate Pod 中執行的容器無法擔任與 Pod 執行角色相關聯的 IAM 許可。若要授予 Fargate Pod 中的容器存取其他服務的許可 AWS ,您必須為服務帳戶使用 IAM 角色

建立 Fargate 設定檔之前,您必須使用 AmazonEKSFargatePodExecutionRolePolicy 建立 IAM 角色。

檢查是否已正確設定現有的 Pod 執行角色

您可以使用下列程序來檢查並查看您的帳戶是否已有正確設定的 Amazon EKS Pod 執行角色。為了避免混淆代理人安全問題,角色必須根據 限制存取SourceArn。您可以視需要修改執行角色,以納入對其他叢集上的 Fargate 描述檔的支援。

  1. 開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. Roles (角色) 頁面上,搜尋 Amazon EKS Fargate Pod Execution Role (Amazon EKS Fargate Pod 執行角色) 的角色清單。如果角色不存在,請參閱 建立 Amazon EKS Pod 執行角色 以建立角色。如果該角色存在,請選取角色。

  4. Amazon EKS Fargate Pod Execution Role (Amazon EKS Fargate Pod 執行角色) 頁面上,執行下列動作:

    1. 選擇許可

    2. 確定 AmazonEKSFargatePodExecutionRolePolicy Amazon 受管政策已連接至角色。

    3. 選擇 Trust relationships (信任關係)

    4. 選擇 Edit trust policy (編輯信任政策)。

  5. Edit trust policy (編輯信任政策)頁面上,確認信任關係包含以下政策,並且在叢集上具有 Fargate 描述檔的行。若是如此,請選擇 Cancel (取消)。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Condition": {
         "ArnLike": {
            "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*"
         }
      },
      "Principal": {
        "Service": "eks-fargate-pods.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    如果政策相符,但沒有在叢集上指定 Fargate 設定檔的行,您可以在ArnLike物件頂端新增以下行。將 region-code 取代為您的叢集所在的 AWS 區域、將 111122223333 取代為您的 帳戶 ID,並將 my-cluster 取代為您的叢集名稱。

    "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*",

    如果政策不相符,請將完整的先前政策複製到表單,然後選擇更新政策。將 region-code 取代為您的叢集所在的 AWS 區域。如果您想要在帳戶的所有 AWS 區域中使用相同的角色,請以 取代 region-code*。將 111122223333 取代為您的 帳戶 ID,並將 my-cluster 取代為您的叢集名稱。如果您想要對帳戶中的所有叢集使用相同的角色,請將 my-cluster 取代為 *

建立 Amazon EKS Pod 執行角色

如果您還沒有叢集的 Amazon EKS Pod 執行角色,您可以使用 AWS Management Console 或 AWS CLI 來建立叢集。

AWS Management Console

  1. 開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在左側導覽窗格中,選擇 Roles (角色)。

  3. Roles (角色) 頁面上,選擇 Create role (建立角色)。

  4. Select trusted entity (選取信任的實體) 頁面上,執行以下作業:

    1. 信任的實體類型區段中,選擇 AWS 服務

    2. AWS 其他服務的使用案例下拉式清單中,選擇 EKS

    3. 選擇 EKS - Fargate Pod

    4. 選擇 Next (下一步)

  5. Add permissions (新增許可) 頁面上,選擇 Next (下一步)。

  6. Name, review, and create (命名、檢閱和建立) 頁面上,執行以下作業:

    1. 針對 Role name (角色名稱),為您的角色輸入唯一名稱 (例如 AmazonEKSFargatePodExecutionRole)。

    2. 藉由連接標籤做為鍵值對,在新增標籤 (選用) 下將中繼資料新增至角色。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 資源

    3. 選擇建立角色

  7. Roles (角色) 頁面上,搜尋 Amazon EKS Fargate Pod Execution Role (Amazon EKS Fargate Pod 執行角色) 的角色清單。選擇角色。

  8. Amazon EKS Fargate Pod Execution Role (Amazon EKS Fargate Pod 執行角色) 頁面上,執行下列動作:

    1. 選擇 Trust relationships (信任關係)

    2. 選擇 Edit trust policy (編輯信任政策)。

  9. Edit trust policy (編輯信任政策) 頁面上,執行下列動作:

    1. 請複製以下內容,並在 Edit trust policy (編輯信任政策) 表單貼上。將 region-code 取代為您叢集所在的 AWS 區域。如果您想要在帳戶的所有 AWS 區域中使用相同的角色,請以 取代 region-code*。將 111122223333 取代為您的 帳戶 ID,並將 my-cluster 取代為您的叢集名稱。如果您想要對帳戶中的所有叢集使用相同的角色,請將 my-cluster 取代為 *

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Condition": {
         "ArnLike": {
            "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*"
         }
      },
      "Principal": {
        "Service": "eks-fargate-pods.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    2. 選擇更新政策

AWS CLI

  1. 複製以下內容並在名為 pod-execution-role-trust-policy.json 的檔案貼上。將 region-code 取代為您的叢集所在的 AWS 區域。如果您想要在帳戶的所有 AWS 區域中使用相同的角色,請以 取代 region-code*。將 111122223333 取代為您的 帳戶 ID,並將 my-cluster 取代為您的叢集名稱。如果您想要對帳戶中的所有叢集使用相同的角色,請將 my-cluster 取代為 *

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Condition": {
         "ArnLike": {
            "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*"
         }
      },
      "Principal": {
        "Service": "eks-fargate-pods.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. 建立 Pod 執行 IAM 角色。

    aws iam create-role \
  --role-name AmazonEKSFargatePodExecutionRole \
  --assume-role-policy-document file://"pod-execution-role-trust-policy.json"

  3. 將必要的 Amazon EKS 受管 IAM 政策連接到角色。

    aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \
  --role-name AmazonEKSFargatePodExecutionRole