Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Rôles IAM pour les modules complémentaires Amazon EKS

PDF
RSS
Mode de mise au point
Rôles IAM pour les modules complémentaires Amazon EKS - Amazon EKS

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Certains modules complémentaires Amazon EKS nécessitent des rôles et des autorisations IAM pour appeler AWS APIs. Par exemple, le module complémentaire Amazon VPC CNI appelle certains AWS APIs pour configurer les ressources réseau de votre compte. Ces modules complémentaires doivent être autorisés à l'aide d'IAM. Plus précisément, le compte de service du pod exécutant le module complémentaire doit être associé à un rôle IAM avec une politique IAM spécifique.

La méthode recommandée pour accorder des AWS autorisations aux charges de travail de cluster est d'utiliser la fonctionnalité Pod Identities d'Amazon EKS. Vous pouvez utiliser une association d'identité Pod pour associer le compte de service d'un module complémentaire à un rôle IAM. Si un pod utilise un compte de service qui a une association, Amazon EKS définit des variables d’environnement dans les conteneurs du pod. Les variables d'environnement configurent AWS SDKs, y compris la AWS CLI, pour utiliser les informations d'identification EKS Pod Identity. Pour plus d’informations, consultez Découvrez comment EKS Pod Identity permet aux pods d'accéder aux AWS services.

Les modules complémentaires Amazon EKS peuvent aider à gérer le cycle de vie des associations d'identité des pods correspondant au module complémentaire. Par exemple, vous pouvez créer ou mettre à jour un module complémentaire Amazon EKS et l'association d'identité de pod nécessaire en un seul appel d'API. Amazon EKS fournit également une API permettant de récupérer les politiques IAM suggérées.

  1. Vérifiez que l'agent d'identité du pod Amazon EKS est configuré sur votre cluster.

  2. Déterminez si le module complémentaire que vous souhaitez installer nécessite des autorisations IAM à l'aide de la describe-addon-versions AWS CLI. Si l'requiresIamPermissionsindicateur l'esttrue, vous devez utiliser l'describe-addon-configurationsopération pour déterminer les autorisations requises par l'addon. La réponse inclut une liste de stratégies IAM gérées suggérées.

  3. Récupérez le nom du compte de service Kubernetes et la politique IAM à l'aide de l'opération CLI. describe-addon-configuration Évaluez la portée de la politique suggérée par rapport à vos exigences de sécurité.

  4. Créez un rôle IAM en utilisant la politique d'autorisation suggérée et la politique de confiance requise par Pod Identity. Pour de plus amples informations, veuillez consulter Création d'une association Pod Identity (AWS console).

  5. Créez ou mettez à jour un module complémentaire Amazon EKS à l'aide de la CLI. Spécifiez au moins une association d'identité de pod. Une association d'identité de pod est le nom d'un compte de service Kubernetes et l'ARN du rôle IAM.

    • Les associations d'identité de pod créées à l'aide du module complémentaire APIs appartiennent au module complémentaire correspondant. Si vous supprimez le module complémentaire, l'association d'identité du module est également supprimée. Vous pouvez empêcher cette suppression en cascade en utilisant l'preserveoption lors de la suppression d'un addon à l'aide de la AWS CLI ou de l'API. Vous pouvez également mettre à jour ou supprimer directement l'association d'identité du module si nécessaire. Les modules complémentaires ne peuvent pas assumer la propriété des associations d'identité de pods existantes. Vous devez supprimer l'association existante et la recréer à l'aide d'une opération de création ou de mise à jour d'un module complémentaire.

    • Amazon EKS recommande d'utiliser les associations d'identité des pods pour gérer les autorisations IAM pour les modules complémentaires. La méthode précédente, les rôles IAM pour les comptes de service (IRSA), est toujours prise en charge. Vous pouvez spécifier à la fois une association d'identité IRSA serviceAccountRoleArn et une association d'identité de pod pour un module complémentaire. Si l'agent d'identité du pod EKS est installé sur le cluster, il serviceAccountRoleArn sera ignoré et EKS utilisera l'association d'identité du pod fournie. Si Pod Identity n'est pas activé, il serviceAccountRoleArn sera utilisé.

    • Si vous mettez à jour les associations d'identité des modules pour un module complémentaire existant, Amazon EKS lance un redémarrage progressif des modules complémentaires.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.