IAMrôles pour les EKS modules complémentaires Amazon - Amazon EKS

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tous.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMrôles pour les EKS modules complémentaires Amazon

Certains EKS modules complémentaires Amazon nécessitent IAM des rôles et des autorisations pour appeler AWS APIs. Par exemple, le VPC CNI module complémentaire Amazon appelle certains AWS APIs pour configurer les ressources réseau de votre compte. Ces modules complémentaires doivent être autorisés à être utilisésIAM. Plus précisément, le compte de service du pod exécutant le module complémentaire doit être associé à un IAM rôle doté d'une IAM politique spécifique.

La méthode recommandée pour accorder des AWS autorisations aux charges de travail des clusters est d'utiliser la EKS fonctionnalité Amazon Pod Identities. Vous pouvez utiliser une association d'identité Pod pour associer le compte de service d'un module complémentaire à un IAM rôle. Si un pod utilise un compte de service associé, Amazon EKS définit des variables d'environnement dans les conteneurs du pod. Les variables d'environnement configurent AWS SDKs, y compris le AWS CLI, pour utiliser les informations d'identification du EKS Pod Identity. Pour plus d’informations, consultez Découvrez comment EKS Pod Identity permet aux pods d'accéder aux AWS services.

Les EKS modules complémentaires Amazon peuvent aider à gérer le cycle de vie des associations d'identité des pods correspondant au module complémentaire. Par exemple, vous pouvez créer ou mettre à jour un EKS module complémentaire Amazon et l'association d'identité du pod nécessaire en un seul API appel. Amazon fournit EKS également un outil permettant API de récupérer les IAM politiques suggérées.

Utilisation suggérée :

  1. Vérifiez que l'agent d'identité Amazon EKS pod est configuré sur votre cluster.

  2. Déterminez si le module complémentaire que vous souhaitez installer nécessite IAM des autorisations à l'aide de l'describe-addon-versions AWS CLI opération. Si l'requiresIamPermissionsindicateur l'esttrue, vous devez utiliser l'describe-addon-configurationsopération pour déterminer les autorisations requises par l'addon. La réponse inclut une liste de IAM politiques gérées suggérées.

  3. Récupérez le nom du compte de service Kubernetes et la IAM politique à l'aide de l'opération. describe-addon-configuration CLI Évaluez la portée de la politique suggérée par rapport à vos exigences de sécurité.

  4. Créez un IAM rôle en utilisant la politique d'autorisation suggérée et la politique de confiance requise par Pod Identity. Pour de plus amples informations, veuillez consulter Création de l'association EKS Pod Identity.

  5. Créez ou mettez à jour un EKS module complémentaire Amazon à l'aide duCLI. Spécifiez au moins une association d'identité de pod. Une association d'identité de pod est le nom d'un compte de Kubernetes service et le nom ARN du IAM rôle.

Considérations :

  • Les associations d'identité de pod créées à l'aide du module complémentaire APIs appartiennent au module complémentaire correspondant. Si vous supprimez le module complémentaire, l'association d'identité du module est également supprimée. Vous pouvez empêcher cette suppression en cascade en utilisant l'preserveoption lors de la suppression d'un addon à l'aide du ou. AWS CLI API Vous pouvez également mettre à jour ou supprimer directement l'association d'identité du module si nécessaire. Les modules complémentaires ne peuvent pas assumer la propriété des associations d'identité de pods existantes. Vous devez supprimer l'association existante et la recréer à l'aide d'une opération de création ou de mise à jour d'un module complémentaire.

  • Amazon EKS recommande d'utiliser les associations d'identité des pods pour gérer les IAM autorisations relatives aux modules complémentaires. La méthode précédente, IAM les rôles pour les comptes de service (IRSA), est toujours prise en charge. Vous pouvez spécifier à la fois une association d'identité IRSA serviceAccountRoleArn et une association d'identité de pod pour un module complémentaire. Si l'agent d'identité du EKS pod est installé sur le cluster, il serviceAccountRoleArn sera ignoré et EKS utilisera l'association d'identité du pod fournie. Si Pod Identity n'est pas activé, il serviceAccountRoleArn sera utilisé.

  • Si vous mettez à jour les associations d'identité des modules pour un module complémentaire existant, Amazon EKS lance un redémarrage progressif des modules complémentaires.