Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Peran IAM untuk add-on Amazon EKS

PDF
RSS
Mode fokus
Peran IAM untuk add-on Amazon EKS - Amazon EKS

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Add-on Amazon EKS tertentu memerlukan peran dan izin IAM untuk menelepon. AWS APIs Misalnya, add-on Amazon VPC CNI memanggil tertentu AWS APIs untuk mengonfigurasi sumber daya jaringan di akun Anda. Add-on ini perlu diberikan izin menggunakan IAM. Lebih khusus lagi, akun layanan pod yang menjalankan add-on perlu dikaitkan dengan peran IAM dengan kebijakan IAM tertentu.

Cara yang disarankan untuk memberikan AWS izin ke beban kerja klaster adalah dengan menggunakan fitur Amazon EKS Pod Identities. Anda dapat menggunakan Pod Identity Association untuk memetakan akun layanan add-on ke peran IAM. Jika sebuah pod menggunakan akun layanan yang memiliki asosiasi, Amazon EKS menetapkan variabel lingkungan dalam kontainer pod. Variabel lingkungan mengonfigurasi AWS SDKs, termasuk AWS CLI, untuk menggunakan kredenal Identitas Pod EKS. Untuk informasi selengkapnya, silakan lihat Pelajari cara EKS Pod Identity memberikan akses Pod ke layanan AWS

Add-on Amazon EKS dapat membantu mengelola siklus hidup asosiasi identitas pod yang sesuai dengan add-on. Misalnya, Anda dapat membuat atau memperbarui add-on Amazon EKS dan asosiasi identitas pod yang diperlukan dalam satu panggilan API. Amazon EKS juga menyediakan API untuk mengambil kebijakan IAM yang disarankan.

  1. Konfirmasikan bahwa agen identitas pod Amazon EKS telah disiapkan di klaster Anda.

  2. Tentukan apakah add-on yang ingin Anda instal memerlukan izin IAM menggunakan operasi CLI describe-addon-versions AWS . Jika requiresIamPermissions benderanyatrue, maka Anda harus menggunakan describe-addon-configurations operasi untuk menentukan izin yang diperlukan oleh addon. Tanggapan tersebut mencakup daftar kebijakan IAM terkelola yang disarankan.

  3. Ambil nama Akun Layanan Kubernetes dan kebijakan IAM menggunakan operasi CLI. describe-addon-configuration Evaluasi ruang lingkup kebijakan yang disarankan terhadap persyaratan keamanan Anda.

  4. Buat peran IAM menggunakan kebijakan izin yang disarankan, dan kebijakan kepercayaan yang diperlukan oleh Pod Identity. Untuk informasi selengkapnya, lihat Membuat asosiasi Pod Identity (AWS Console).

  5. Buat atau perbarui add-on Amazon EKS menggunakan CLI. Tentukan setidaknya satu asosiasi identitas pod. Asosiasi identitas pod adalah nama akun layanan Kubernetes, dan ARN dari peran IAM.

    • Asosiasi identitas Pod yang dibuat menggunakan add-on APIs dimiliki oleh add-on masing-masing. Jika Anda menghapus add-on, asosiasi identitas pod juga akan dihapus. Anda dapat mencegah penghapusan cascading ini dengan menggunakan preserve opsi saat menghapus addon menggunakan CLI AWS atau API. Anda juga dapat langsung memperbarui atau menghapus asosiasi identitas pod jika perlu. Add-on tidak dapat mengasumsikan kepemilikan asosiasi identitas pod yang ada. Anda harus menghapus asosiasi yang ada dan membuatnya kembali menggunakan add-on membuat atau memperbarui operasi.

    • Amazon EKS merekomendasikan penggunaan asosiasi identitas pod untuk mengelola izin IAM untuk add-on. Metode sebelumnya, peran IAM untuk akun layanan (IRSA), masih didukung. Anda dapat menentukan IRSA serviceAccountRoleArn dan asosiasi identitas pod untuk add-on. Jika agen identitas pod EKS diinstal pada cluster, serviceAccountRoleArn maka akan diabaikan, dan EKS akan menggunakan asosiasi identitas pod yang disediakan. Jika Pod Identity tidak diaktifkan, serviceAccountRoleArn maka akan digunakan.

    • Jika Anda memperbarui asosiasi identitas pod untuk add-on yang ada, Amazon EKS akan memulai restart bergulir dari pod add-on.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.