IAMRollen für EKS Amazon-Add-Ons - Amazon EKS

Helfen Sie mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRollen für EKS Amazon-Add-Ons

Bestimmte EKS Amazon-Add-Ons benötigen IAM Rollen und Berechtigungen, um sie aufrufen zu können AWS APIs. Zum Beispiel ruft das VPC CNI Amazon-Add-on bestimmte Netzwerkressourcen in Ihrem Konto auf, AWS APIs um sie zu konfigurieren. Diesen Add-Ons muss die Erlaubnis zur Verwendung erteilt werdenIAM. Genauer gesagt muss das Dienstkonto des Pods, auf dem das Add-on ausgeführt wird, einer IAM Rolle mit einer bestimmten IAM Richtlinie zugeordnet sein.

Die empfohlene Methode zur Erteilung von AWS Berechtigungen für Cluster-Workloads ist die Verwendung der EKS Amazon-Funktion Pod Identities. Sie können eine Pod Identity Association verwenden, um das Dienstkonto eines Add-ons einer Rolle zuzuordnen. IAM Wenn ein Pod ein Dienstkonto verwendet, das über eine Verknüpfung verfügt, EKS legt Amazon Umgebungsvariablen in den Containern des Pods fest. Die Umgebungsvariablen konfigurieren die AWS SDKs, einschließlich der AWS CLI, für die Verwendung der EKS Pod-Identity-Anmeldeinformationen. Weitere Informationen finden Sie unter Erfahre wie EKS Pod Identity gewährt Pods Zugriff auf AWS Dienste

EKSAmazon-Add-Ons können dabei helfen, den Lebenszyklus von Pod-Identitätszuordnungen zu verwalten, die dem Add-on entsprechen. Sie können beispielsweise ein EKS Amazon-Add-on und die erforderliche Pod-Identitätszuordnung in einem einzigen API Aufruf erstellen oder aktualisieren. Amazon bietet EKS auch eine Option API zum Abrufen von IAM Richtlinienvorschlägen.

  1. Vergewissern Sie sich, dass der Amazon EKS Pod Identity Agent auf Ihrem Cluster eingerichtet ist.

  2. Stellen Sie mithilfe des describe-addon-versions AWS CLI Vorgangs fest, ob für das Add-on, das Sie installieren möchten, IAM Berechtigungen erforderlich sind. Wenn das requiresIamPermissions Kennzeichen aktiviert isttrue, sollten Sie die describe-addon-configurations Operation verwenden, um die für das Addon benötigten Berechtigungen zu ermitteln. Die Antwort enthält eine Liste mit Vorschlägen für verwaltete IAM Richtlinien.

  3. Rufen Sie mithilfe des Vorgangs den Namen des Kubernetes-Dienstkontos und der IAM Richtlinie ab. describe-addon-configuration CLI Prüfen Sie den Umfang der vorgeschlagenen Richtlinie anhand Ihrer Sicherheitsanforderungen.

  4. Erstellen Sie eine IAM Rolle anhand der vorgeschlagenen Berechtigungsrichtlinie und der für Pod Identity erforderlichen Vertrauensrichtlinie. Weitere Informationen finden Sie unter Erstellen Sie eine Pod Identity-Zuordnung (AWS Konsole).

  5. Erstellen oder aktualisieren Sie ein EKS Amazon-Add-on mit demCLI. Geben Sie mindestens eine Pod-Identitätszuordnung an. Eine Pod-Identitätszuordnung ist der Name einer Kubernetes Dienstkonto und das ARN der IAM Rolle.

    • Mit dem Add-on erstellte Pod-Identitätszuordnungen APIs gehören dem jeweiligen Add-on. Wenn Sie das Add-on löschen, wird auch die Pod-Identitätszuordnung gelöscht. Sie können dieses kaskadierende Löschen verhindern, indem Sie beim Löschen eines Addons die preserve Option oder verwenden. AWS CLI API Sie können die Pod-Identitätszuordnung bei Bedarf auch direkt aktualisieren oder löschen. Add-Ons können nicht das Eigentum an bestehenden Pod-Identitätszuordnungen übernehmen. Sie müssen die bestehende Zuordnung löschen und sie mithilfe eines Add-On-Vorgangs zum Erstellen oder Aktualisieren neu erstellen.

    • Amazon EKS empfiehlt die Verwendung von Pod-Identitätszuordnungen, um die IAM Berechtigungen für Add-Ons zu verwalten. Die vorherige Methode, IAM Rollen für Dienstkonten (IRSA), wird weiterhin unterstützt. Sie können für ein Add-On IRSA serviceAccountRoleArn sowohl eine als auch eine Pod-Identitätszuordnung angeben. Wenn der EKS Pod-Identitätsagent auf dem Cluster installiert ist, serviceAccountRoleArn wird er ignoriert und EKS verwendet die bereitgestellte Pod-Identitätszuordnung. Wenn Pod Identity nicht aktiviert ist, serviceAccountRoleArn wird der verwendet.

    • Wenn Sie die Pod-Identitätszuordnungen für ein vorhandenes Add-on aktualisieren, EKS leitet Amazon einen fortlaufenden Neustart der Add-On-Pods ein.