Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Roles de IAM para los complementos de Amazon EKS

PDF
RSS
Modo de enfoque
Roles de IAM para los complementos de Amazon EKS - Amazon EKS

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Algunos complementos de Amazon EKS necesitan permisos y roles de IAM para llamar a las API de AWS. Por ejemplo, el complemento CNI de Amazon VPC llama a determinadas API de AWS para configurar los recursos de red de su cuenta. Es necesario conceder permiso a estos complementos mediante el IAM de . Más específicamente, la cuenta de servicio del pod que ejecuta el complemento debe estar asociada a un rol de IAM con una política de IAM específica.

La forma recomendada de conceder permisos AWS para agrupar cargas de trabajo es mediante la característica Pod Identity de Amazon EKS. Puede usar una asociación de Pod Identity para asignar la cuenta de servicio de un complemento a un rol de IAM. Si un pod usa una cuenta de servicio que tiene una asociación, Amazon EKS establece las variables de entorno en los contenedores del pod. Las variables de entorno configuran los SDK de AWS, incluida la AWS de CLI, para usar las credenciales de la Pod Identity de EKS. Para obtener más información, consulte Más información sobre cómo Pod Identity de EKS concede a los pods acceso a los servicios de AWS

Los complementos de Amazon EKS pueden ayudar a administrar el ciclo de vida de las asociaciones de Pod Identity correspondientes al complemento. Por ejemplo, puede crear o actualizar un complemento de Amazon EKS y la asociación de Pod Identity necesaria en una sola llamada a la API. Amazon EKS también proporciona una API para recuperar las políticas de IAM sugeridas.

  1. Confirme que el agente de Pod Identity de Amazon EKS esté configurado en su clúster.

  2. Determine si el complemento que desea instalar requiere permisos de IAM mediante la operación describe-addon-versions AWS CLI. Si el indicador requiresIamPermissions es true, entonces debe usar la operación describe-addon-configurations para determinar los permisos que necesita el complemento. La respuesta incluye una lista de políticas de IAM administradas sugeridas.

  3. Recupere el nombre de la cuenta de servicio de Kubernetes y la política de IAM mediante la operación de la CLI describe-addon-configuration. Evalúe el alcance de la política sugerida en función de sus requisitos de seguridad.

  4. Cree un rol de IAM con la política de permisos sugerida y la política de confianza que exige Pod Identity. Para obtener más información, consulte Creación de una asociación de Pod Identity (consola de AWS).

  5. Cree o actualice el complemento de Amazon EKS con la CLI. Especifique al menos una asociación de Pod Identity. Una asociación de Pod Identity es el nombre de una cuenta de servicio de Kubernetes y el ARN de un rol de IAM.

    • Las asociaciones de Pod Identity creadas con las API de los complementos son propiedad del complemento correspondiente. Si elimina el complemento, también se eliminará la asociación de Pod Identity. Para evitar esta eliminación en cascada, utilice la opción preserve cuando elimine un complemento mediante la AWS CLI o la API. Si es necesario, también puede actualizar o eliminar directamente la asociación de Pod Identity. Los complementos no pueden asumir la propiedad de las asociaciones de Pod Identity existentes. Debe eliminar la asociación existente y volver a crearla mediante una operación de creación o actualización de complementos.

    • Amazon EKS recomienda usar asociaciones de Pod Identity para administrar los permisos de IAM para los complementos. El método anterior, los roles de IAM para cuentas de servicio (IRSA), aún se admite. Puede especificar tanto un serviceAccountRoleArn de IRSA como una asociación de Pod Identity para un complemento. Si el agente del Pod Identity de EKS está instalado en el clúster, serviceAccountRoleArn se ignorará y EKS utilizará la asociación de Pod Identity proporcionada. Si Pod Identity no está habilitada, se utilizará serviceAccountRoleArn.

    • Si actualiza las asociaciones de Pod Identity de un complemento existente, Amazon EKS inicia un reinicio continuo de los pods del complemento.

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.