為 EKS 羣集上的服務賬户 (IRSA) 啟用 IAM 角色 - Amazon EMR

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 EKS 羣集上的服務賬户 (IRSA) 啟用 IAM 角色

服務賬户的 IAM 角色功能適用於 Amazon EKS 1.14 版叢集,以及在 2019 年 9 月 3 日或之後更新至 1.13 版或更新版本的 EKS 叢集。若要使用此功能,您可以將現有 EKS 叢集更新至 1.14 版或更新版本。如需詳細資訊,請參閱「」更新 Amazon EKS 叢集 Kubernetes 版本

如果您的叢集支援服務賬户的 IAM 角色,則會有OpenID Connect與其相關聯的頒發者 URL。您可以在 Amazon EKS 主控台中檢視此 URL,也可以使用下列AWS CLI命令來檢索它。

重要

您必須使用最新版本的AWS CLI接收此命令的正確輸出。

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

預期的輸出如下。

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

若要將 IAM 角色用於叢集中的服務賬户,您必須使用eksctlAWS Management Console

若要使用為您的叢集建立 IAM OIDC 身分供應商eksctl

使用以下命令檢查您的 eksctl 版本。此程序假設您已安裝eksctl並且您的eksctl版本為 0.32.0 或更新版本。

eksctl version

如需安裝或升級 eksctl 的詳細資訊,請參安裝或升級 EKSCTl

使用下列命令為您的叢集建立 OIDC 身分提供者。使用自己的值取代 cluster_name

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

若要使用為您的叢集建立 IAM OIDC 身分供應商AWS Management Console

從 Amazon EKS 主控台中的叢集描述檢索 OIDC 發行者 URL,或使用下列AWS CLI命令。

使用下列命令從AWS CLI。

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

使用下列步驟從 Amazon EKS 主控台中檢索 OIDC 頒發者 URL。

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 在導覽面板中,選擇身分供應商,然後選擇建立提供商

    1. 處理 Provider Type (提供者類型) 時,請選擇 Choose a provider type (選擇提供者類型),然後選擇 OpenID Connect

    2. 針對 Provider URL (提供者 URL),貼上叢集的 OIDC 發行者 URL。

    3. 針對 Room (對象),輸入主頁,然後選擇後續步驟

  3. 確認供應商資訊是否正確,然後選擇 Create (建立) 來建立您的身分供應商。