Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

IAM-Rollen für Amazon EKS-Add-Ons

PDF
RSS
Fokusmodus
IAM-Rollen für Amazon EKS-Add-Ons - Amazon EKS

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bestimmte Amazon EKS-Add-Ons benötigen zum Aufrufen AWS APIs IAM-Rollen und -Berechtigungen. Beispielsweise ruft das Amazon VPC CNI-Add-on bestimmte Netzwerkressourcen in Ihrem AWS APIs Konto auf, um sie zu konfigurieren. Diese Add-Ons müssen mithilfe von IAM autorisiert werden. Insbesondere muss das Dienstkonto des Pods, auf dem das Add-on ausgeführt wird, einer IAM-Rolle mit einer bestimmten IAM-Richtlinie zugeordnet sein.

Die empfohlene Methode zur Erteilung von AWS Berechtigungen für Cluster-Workloads ist die Verwendung der Amazon EKS-Funktion Pod Identities. Sie können eine Pod Identity Association verwenden, um das Dienstkonto eines Add-ons einer IAM-Rolle zuzuordnen. Wenn ein Pod ein Servicekonto mit einer Zuordnung verwendet, legt Amazon EKS Umgebungsvariablen in den Containern des Pods fest. Die Umgebungsvariablen konfigurieren die AWS SDKs, einschließlich der AWS CLI, für die Verwendung der EKS Pod Identity-Anmeldeinformationen. Weitere Informationen finden Sie unter Erfahren Sie, wie EKS Pod Identity Pods Zugriff auf AWS Dienste gewährt

Amazon EKS-Add-Ons können dabei helfen, den Lebenszyklus von Pod-Identitätszuordnungen zu verwalten, die dem Add-on entsprechen. Sie können beispielsweise ein Amazon EKS-Add-on und die erforderliche Pod-Identitätszuordnung in einem einzigen API-Aufruf erstellen oder aktualisieren. Amazon EKS bietet auch eine API zum Abrufen von vorgeschlagenen IAM-Richtlinien.

  1. Vergewissern Sie sich, dass der Amazon EKS Pod Identity Agent auf Ihrem Cluster eingerichtet ist.

  2. Ermitteln Sie mithilfe des describe-addon-versions AWS CLI-Vorgangs, ob für das Add-on, das Sie installieren möchten, IAM-Berechtigungen erforderlich sind. Wenn das requiresIamPermissions Kennzeichen aktiviert isttrue, sollten Sie den describe-addon-configurations Vorgang verwenden, um die für das Addon benötigten Berechtigungen zu ermitteln. Die Antwort enthält eine Liste der vorgeschlagenen verwalteten IAM-Richtlinien.

  3. Rufen Sie den Namen des Kubernetes-Dienstkontos und die IAM-Richtlinie mithilfe der describe-addon-configuration CLI-Operation ab. Vergleichen Sie den Umfang der vorgeschlagenen Richtlinie anhand Ihrer Sicherheitsanforderungen.

  4. Erstellen Sie eine IAM-Rolle mithilfe der vorgeschlagenen Berechtigungsrichtlinie und der von Pod Identity geforderten Vertrauensrichtlinie. Weitere Informationen finden Sie unter Erstellen Sie eine Pod Identity-Zuordnung (Konsole)AWS.

  5. Erstellen oder aktualisieren Sie ein Amazon EKS-Add-on mithilfe der CLI. Geben Sie mindestens eine Pod-Identitätszuordnung an. Eine Pod-Identitätszuordnung ist der Name eines Kubernetes-Dienstkontos und der ARN der IAM-Rolle.

    • Mit dem Add-on erstellte Pod-Identitätszuordnungen APIs gehören dem jeweiligen Add-on. Wenn Sie das Add-on löschen, wird auch die Pod-Identitätszuordnung gelöscht. Sie können dieses kaskadierende Löschen verhindern, indem Sie die preserve Option beim Löschen eines Addons über die AWS CLI oder API verwenden. Sie können die Pod-Identitätszuordnung bei Bedarf auch direkt aktualisieren oder löschen. Add-Ons können nicht das Eigentum an bestehenden Pod-Identitätszuordnungen übernehmen. Sie müssen die bestehende Zuordnung löschen und sie mithilfe eines Add-On-Vorgangs zum Erstellen oder Aktualisieren neu erstellen.

    • Amazon EKS empfiehlt die Verwendung von Pod-Identitätszuordnungen zur Verwaltung von IAM-Berechtigungen für Add-Ons. Die vorherige Methode, IAM-Rollen für Dienstkonten (IRSA), wird weiterhin unterstützt. Sie können für ein Add-On sowohl eine IRSA serviceAccountRoleArn - als auch eine Pod-Identitätszuordnung angeben. Wenn der EKS-Pod-Identitätsagent auf dem Cluster installiert ist, serviceAccountRoleArn wird er ignoriert und EKS verwendet die bereitgestellte Pod-Identitätszuordnung. Wenn Pod Identity nicht aktiviert ist, serviceAccountRoleArn wird der verwendet.

    • Wenn Sie die Pod-Identitätszuordnungen für ein vorhandenes Add-on aktualisieren, leitet Amazon EKS einen fortlaufenden Neustart der Add-On-Pods ein.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.