為 EKS 羣集上的服務賬户 (IRSA) 啟用 IAM 角色

服務賬户的 IAM 角色功能適用於 Amazon EKS 1.14 版叢集，以及在 2019 年 9 月 3 日或之後更新至 1.13 版或更新版本的 EKS 叢集。若要使用此功能，您可以將現有 EKS 叢集更新至 1.14 版或更新版本。如需詳細資訊，請參閱「」更新 Amazon EKS 叢集 Kubernetes 版本。

如果您的叢集支援服務賬户的 IAM 角色，則會有OpenID Connect與其相關聯的頒發者 URL。您可以在 Amazon EKS 主控台中檢視此 URL，也可以使用下列AWS CLI命令來檢索它。

重要

您必須使用最新版本的AWS CLI接收此命令的正確輸出。

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

預期的輸出如下。

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

若要將 IAM 角色用於叢集中的服務賬户，您必須使用eksctl或AWS Management Console。

若要使用為您的叢集建立 IAM OIDC 身分供應商eksctl

使用以下命令檢查您的 eksctl 版本。此程序假設您已安裝eksctl並且您的eksctl版本為 0.32.0 或更新版本。

eksctl version

如需安裝或升級 eksctl 的詳細資訊，請參安裝或升級 EKSCTl。

使用下列命令為您的叢集建立 OIDC 身分提供者。使用自己的值取代 cluster_name。

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

若要使用為您的叢集建立 IAM OIDC 身分供應商AWS Management Console

從 Amazon EKS 主控台中的叢集描述檢索 OIDC 發行者 URL，或使用下列AWS CLI命令。

使用下列命令從AWS CLI。

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

使用下列步驟從 Amazon EKS 主控台中檢索 OIDC 頒發者 URL。

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。

2. 在導覽面板中，選擇身分供應商，然後選擇建立提供商。

   1. 處理 Provider Type (提供者類型) 時，請選擇 Choose a provider type (選擇提供者類型)，然後選擇 OpenID Connect。

   2. 針對 Provider URL (提供者 URL)，貼上叢集的 OIDC 發行者 URL。

   3. 針對 Room (對象)，輸入主頁，然後選擇後續步驟。

3. 確認供應商資訊是否正確，然後選擇 Create (建立) 來建立您的身分供應商。