Obtención de información de IAM sobre un complemento de Amazon EKS - Amazon EKS
ProcedimientoReferencia de compatibilidad de Pod Identity

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Elija el enlace Editar esta página en GitHub que se encuentra en el panel derecho de cada página. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Obtención de información de IAM sobre un complemento de Amazon EKS

Antes de crear un complemento, utilice AWS CLI para determinar lo siguiente:

  • Si el complemento requiere permisos de IAM

  • La política de IAM que se recomienda utilizar

Procedimiento

  1. Determine el nombre del complemento que quiere instalar y la versión de Kubernetes del clúster. Para obtener más información sobre los complementos, consulte Complementos de Amazon EKS.

  2. Utilice AWS CLI para determinar si el complemento requiere permisos de IAM.

    aws eks describe-addon-versions \
--addon-name <addon-name> \
--kubernetes-version <kubernetes-version>

    Por ejemplo:

    aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30

    Revise la siguiente salida de ejemplo. Tenga en cuenta que requiresIamPermissions es true y la versión predeterminada del complemento. Debe especificar la versión del complemento al recuperar la política de IAM recomendada.

    {
    "addons": [
        {
            "addonName": "aws-ebs-csi-driver",
            "type": "storage",
            "addonVersions": [
                {
                    "addonVersion": "v1.31.0-eksbuild.1",
                    "architecture": [
                        "amd64",
                        "arm64"
                    ],
                    "compatibilities": [
                        {
                            "clusterVersion": "1.30",
                            "platformVersions": [
                                "*"
                            ],
                            "defaultVersion": true
                        }
                    ],
                    "requiresConfiguration": false,
                    "requiresIamPermissions": true
                },
[...]

  3. Si el complemento requiere permisos de IAM, utilice AWS CLI para recuperar una política de IAM recomendada.

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name <addon-name> \
--addon-version <addon-version>

    Por ejemplo:

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1

    Revise la siguiente salida. Anote el recommendedManagedPolicies.

    [
    {
        "serviceAccount": "ebs-csi-controller-sa",
        "recommendedManagedPolicies": [
            "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
        ]
    }
]

  4. Cree un rol de IAM y adjunte la política administrada recomendada. Como alternativa, revise la política administrada y reduzca los permisos según corresponda. Para obtener más información, consulte Cree una asociación de Pod Identity (consola de AWS).

Referencia de compatibilidad de Pod Identity

En la siguiente tabla se indica si determinados complementos de Amazon EKS admiten EKS Pod Identity.

Nombre del complemento Compatibilidad con Pod Identity Versión mínima requerida

Controlador de CSI de Amazon EBS

v1.26.0-eksbuild.1

CNI de Amazon VPC

v1.15.5-eksbuild.1

Controlador de CSI de Amazon EFS

v2.0.5-eksbuild.1

AWS Distro para OpenTelemetry

v0.94.1-eksbuild.1

Controlador CSI del Mountpoint para Amazon S3

No

N/A

Agente de observabilidad de Amazon CloudWatch

v3.1.0-eksbuild.1

Esta tabla se actualizó por última vez el 28 de octubre de 2024.