Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Erfahren Sie, wie EKS Pod Identity Pods Zugriff auf AWS Dienste gewährt

PDF
RSS
Fokusmodus
Erfahren Sie, wie EKS Pod Identity Pods Zugriff auf AWS Dienste gewährt - Amazon EKS
Vorteile von EKS-Pod-IdentitätenÜbersicht über die Einrichtung von EKS-Pod-IdentitätenÜberlegungen zu EKS Pod Identity

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anwendungen in den Containern eines Pods können ein AWS SDK oder die AWS CLI verwenden, um API-Anfragen an AWS Dienste mithilfe von AWS Identity and Access Management (IAM) -Berechtigungen zu stellen. Anwendungen müssen ihre AWS API-Anfragen mit AWS Anmeldeinformationen signieren.

EKS Pod Identities bieten die Möglichkeit, Anmeldeinformationen für Ihre Anwendungen zu verwalten, ähnlich wie EC2 Amazon-Instance-Profile Anmeldeinformationen für EC2 Amazon-Instances bereitstellen. Anstatt Ihre AWS Anmeldeinformationen zu erstellen und an die Container zu verteilen oder die Rolle der EC2 Amazon-Instance zu verwenden, verknüpfen Sie eine IAM-Rolle mit einem Kubernetes-Dienstkonto und konfigurieren Ihre Pods so, dass sie das Dienstkonto verwenden.

Jede EKS-Pod-Identity-Zuordnung ordnet einem Servicekonto in einem Namespace im angegebenen Cluster eine Rolle zu. Wenn Sie dieselbe Anwendung in mehreren Clustern haben, können Sie in jedem Cluster identische Zuordnungen vornehmen, ohne die Vertrauensrichtlinie der Rolle zu ändern.

Wenn ein Pod ein Servicekonto mit einer Zuordnung verwendet, legt Amazon EKS Umgebungsvariablen in den Containern des Pods fest. Die Umgebungsvariablen konfigurieren die AWS SDKs, einschließlich der AWS CLI, für die Verwendung der EKS Pod Identity-Anmeldeinformationen.

Vorteile von EKS-Pod-Identitäten

EKS-Pod-Identitäten bieten die folgenden Vorteile:

  • Geringste Rechte — Sie können IAM-Berechtigungen auf ein Dienstkonto beschränken, und nur Pods, die dieses Dienstkonto verwenden, haben Zugriff auf diese Berechtigungen. Mit diesem Feature entfällt auch die Notwendigkeit von Drittanbieterlösungen wie kiam oder kube2iam.

  • Isolierung von Anmeldeinformationen — Die Container eines Pods können nur Anmeldeinformationen für die IAM-Rolle abrufen, die dem Dienstkonto zugeordnet ist, das der Container verwendet. Ein Container hat niemals Zugriff auf Anmeldeinformationen, die von anderen Containern in anderen Pods verwendet werden. Bei der Verwendung von Pod-Identitäten verfügen die Container des Pods auch über die ihnen zugewiesenen BerechtigungenAmazon-EKS-Knoten-IAM-Rolle, sofern Sie den Pod-Zugriff auf den Amazon EC2 Instance Metadata Service (IMDS) nicht blockieren. Weitere Informationen finden Sie unter Beschränken Sie den Zugriff auf das Instance-Profil, das dem Worker-Knoten zugewiesen ist.

  • Überprüfbarkeit — Die Zugriffs- und Ereignisprotokollierung ist über verfügbar, AWS CloudTrail um nachträgliche Prüfungen zu erleichtern.

EKS Pod Identity ist eine einfachere Methode alsIAM-Rollen für Servicekonten, da diese Methode keine OIDC-Identitätsanbieter verwendet. EKS Pod Identity bietet die folgenden Verbesserungen:

  • Unabhängiger Betrieb — In vielen Organisationen liegt die Verantwortung für die Erstellung von OIDC-Identitätsanbietern bei anderen Teams als für die Verwaltung der Kubernetes-Cluster. EKS Pod Identity hat eine klare Aufgabentrennung: Die gesamte Konfiguration der EKS-Pod-Identity-Zuordnungen erfolgt in Amazon EKS und die gesamte Konfiguration der IAM-Berechtigungen erfolgt in IAM.

  • Wiederverwendbarkeit – EKS Pod Identity verwendet einen einzigen IAM-Prinzipal anstelle der separaten Prinzipale für jeden Cluster, den IAM-Rollen für Servicekonten verwenden. Ihr IAM-Administrator fügt der Vertrauensrichtlinie jeder Rolle den folgenden Prinzipal hinzu, damit sie von EKS-Pod-Identitäten verwendet werden kann.

                "Principal": {
                "Service": "pods.eks.amazonaws.com"
            }

  • Skalierbarkeit — Jeder Satz temporärer Anmeldeinformationen wird vom EKS-Authentifizierungsdienst in EKS Pod Identity übernommen und nicht von jedem AWS SDK, das Sie in jedem Pod ausführen. Anschließend gibt der Amazon EKS Pod Identity Agent, der auf jedem Knoten ausgeführt wird, die Anmeldeinformationen an den aus SDKs. Somit wird die Last für jeden Knoten auf einmal reduziert und nicht in jedem Pod dupliziert. Weitere Details zu diesem Prozess finden Sie unter Verstehen Sie, wie EKS Pod Identity funktioniert.

Weitere Informationen zum Vergleich der beiden Alternativen finden Sie unter Kubernetes-Workloads Zugriff auf die AWS Nutzung von Kubernetes-Dienstkonten gewähren.

Übersicht über die Einrichtung von EKS-Pod-Identitäten

Aktivieren Sie EKS-Pod-Identitäten, indem Sie die folgenden Verfahren ausführen:

  1. Richten Sie den Amazon EKS Pod Identity Agent ein— Sie führen dieses Verfahren nur einmal für jeden Cluster durch. Sie müssen diesen Schritt nicht abschließen, wenn der automatische EKS-Modus auf Ihrem Cluster aktiviert ist.

  2. Weisen Sie einem Kubernetes-Dienstkonto eine IAM-Rolle zu— Führen Sie dieses Verfahren für jeden eindeutigen Satz von Berechtigungen aus, über den eine Anwendung verfügen soll.

  3. Pods für den Zugriff auf AWS Dienste mit Dienstkonten konfigurieren— Führen Sie dieses Verfahren für jeden Pod aus, der Zugriff auf AWS Dienste benötigt.

  4. Pod-Identität mit dem AWS SDK verwenden— Vergewissern Sie sich, dass der Workload ein AWS SDK einer unterstützten Version verwendet und dass der Workload die standardmäßige Anmeldeinformationskette verwendet.

Überlegungen zu EKS Pod Identity

  • Sie können jedem Kubernetes-Dienstkonto in jedem Cluster eine IAM-Rolle zuordnen. Sie können ändern, welche Rolle dem Servicekonto zugeordnet ist, indem Sie die EKS-Pod-Identity-Zuordnung bearbeiten.

  • Sie können nur Rollen zuordnen, die sich in demselben AWS Konto wie der Cluster befinden. Sie können den Zugriff von einem anderen Konto auf die Rolle in diesem Konto delegieren, die Sie für die Verwendung durch EKS-Pod-Identitäten konfigurieren. Ein Tutorial zum Delegieren von Zugriff und AssumeRole finden Sie unter AWS Kontenübergreifendes Delegieren des Zugriffs mithilfe von IAM-Rollen im IAM-Benutzerhandbuch.

  • Der EKS Pod Identity Agent ist erforderlich. Es läuft als Kubernetes DaemonSet auf Ihren Knoten und stellt nur Anmeldeinformationen für Pods auf dem Knoten bereit, auf dem es ausgeführt wird. Weitere Informationen zur Kompatibilität des EKS Pod Identity Agent finden Sie im folgenden Abschnitt (Einschränkungen von EKS Pod Identity).

  • Wenn Sie Security Group for Pods zusammen mit Pod Identity Agent verwenden, müssen Sie möglicherweise das POD_SECURITY_GROUP_ENFORCING_MODE Flag für das AWS VPC-CNI setzen. Weitere Informationen zu Überlegungen zur Sicherheitsgruppe für Pods finden Sie unter. Weisen Sie einzelnen Pods Sicherheitsgruppen zu

  • Der EKS Pod Identity Agent verwendet das hostNetwork des Knotens sowie Port 80 und Port 2703 in einer lokalen Adresse im Knoten. Diese Adresse ist 169.254.170.23 für IPv4 und [fd00:ec2::23] für IPv6 Cluster.

    Wenn Sie IPv6 Adressen deaktivieren oder auf andere Weise IPv6 Localhost-IP-Adressen verhindern, kann der Agent nicht gestartet werden. Um den Agenten auf Knoten zu starten, die nicht verwendet werden könnenIPv6, folgen Sie den Schritten unter IPv6Im EKS Pod Identity Agent deaktivieren So deaktivieren Sie die IPv6 Konfiguration.

  • Wenn Ihre Pods einen Proxy verwenden, müssen Sie sicherstellen, dass Sie die NO_PROXY Umgebungsvariablen 169.254.170.23 [fd00:ec2::23] for IPv4 und for IPv6 in die no_proxy /-Pods einfügen. Andernfalls eks-pod-identity-agent DaemonSets würden Anfragen von den Anwendungs-Pods an die fehlschlagen, da die Anfragen an den Proxy gesendet würden und der Proxy die IP nicht weiterleiten könnte.

Cluster-Versionen von EKS Pod Identity

Um EKS Pod Identities verwenden zu können, muss der Cluster über eine Plattformversion verfügen, die mit der in der folgenden Tabelle aufgeführten Version identisch oder höher ist, oder über eine Kubernetes-Version, die später als die in der Tabelle aufgeführten Versionen ist.

Kubernetes-Version Plattformversion

Kubernetes-Versionen, die nicht aufgeführt sind

Alle Plattformversionen unterstützen

1.28

eks.4

1.27

eks.8

1.26

eks.9

1.25

eks.10

1.24

eks.13

Einschränkungen von EKS Pod Identity

EKS-Pod-Identitäten sind auf folgenden Plattformen verfügbar:

  • Amazon-EKS-Cluster-Versionen, die im vorherigen Thema (Cluster-Versionen von EKS Pod Identity) aufgeführt wurden.

  • Worker-Knoten im Cluster, bei denen es sich um EC2 Linux-Amazon-Instances handelt.

EKS-Pod-Identitäten sind in folgenden Fällen nicht verfügbar:

  • AWS Outposts.

  • Amazon EKS Anywhere.

  • Kubernetes-Cluster, die Sie auf Amazon erstellen und ausführen. EC2 Die EKS-Pod-Identity-Komponenten sind nur in Amazon EKS verfügbar.

Sie können EKS Pod Identities nicht verwenden mit:

  • Pods, die überall außer EC2 Linux-Amazon-Instances ausgeführt werden. Linux- und Windows-Pods, die auf AWS Fargate (Fargate) laufen, werden nicht unterstützt. Pods, die auf EC2 Windows-Amazon-Instances ausgeführt werden, werden nicht unterstützt.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.