Prasyarat Langkah 1: Buat Kebijakan IAM Langkah 2: Buat dan kaitkan Peran IAM Langkah 3: Konfirmasikan konfigurasi Langkah selanjutnya

Tetapkan peran IAM ke akun layanan Kubernetes

Topik ini membahas cara mengonfigurasi akun layanan Kubernetes untuk mengambil peran AWS Identity and Access Management (IAM). Pod apa pun yang dikonfigurasi untuk menggunakan akun layanan kemudian dapat mengakses AWS layanan apa pun yang perannya memiliki izin untuk diakses.

Prasyarat

Sebuah klaster yang sudah ada. Jika Anda tidak memilikinya, Anda dapat membuatnya dengan mengikuti salah satu panduan diMemulai dengan Amazon EKS.
Penyedia IAM OpenID Connect (OIDC) yang sudah ada untuk klaster Anda. Untuk mengetahui apakah Anda sudah memilikinya atau cara membuatnya, lihatBuat penyedia IAM OIDC untuk klaster Anda.
Versi 2.12.3 atau yang lebih baru atau versi 1.27.160 atau yang lebih baru dari AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi pada perangkat Anda atau. AWS CloudShell Untuk memeriksa versi Anda saat ini, gunakanaws --version | cut -d / -f2 | cut -d ' ' -f1. Package manager seperti yumapt-get,, atau Homebrew untuk macOS seringkali merupakan beberapa versi di belakang versi terbaru CLI. AWS Untuk menginstal versi terbaru, lihat Menginstal dan Konfigurasi cepat dengan aws configure di Panduan Pengguna Antarmuka Baris AWS Perintah. Versi AWS CLI yang diinstal AWS CloudShell mungkin juga beberapa versi di belakang versi terbaru. Untuk memperbaruinya, lihat Menginstal AWS CLI ke direktori home Anda di AWS CloudShell Panduan Pengguna.
Alat baris kubectl perintah diinstal pada perangkat Anda atau AWS CloudShell. Versinya bisa sama dengan atau hingga satu versi minor lebih awal atau lebih lambat dari versi Kubernetes dari klaster Anda. Misalnya, jika versi cluster Anda1.29, Anda dapat menggunakan kubectl versi1.28,1.29, atau 1.30 dengan itu. Untuk menginstal atau memutakhirkan kubectl, lihat Mengatur kubectl dan eksctl.
kubectlconfigFile yang sudah ada yang berisi konfigurasi cluster Anda. Untuk membuat kubectl config file, lihatConnect kubectl ke kluster EKS dengan membuat file kubeconfig.

Langkah 1: Buat Kebijakan IAM

Jika Anda ingin mengaitkan kebijakan IAM yang ada dengan peran IAM Anda, lewati ke langkah berikutnya.

Buat kebijakan IAM. Anda dapat membuat kebijakan sendiri, atau menyalin kebijakan AWS terkelola yang telah memberikan beberapa izin yang Anda perlukan dan menyesuaikannya dengan persyaratan spesifik Anda. Untuk informasi selengkapnya, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM.
Buat file yang menyertakan izin untuk AWS layanan yang ingin diakses oleh Pod. Untuk daftar semua tindakan untuk semua AWS layanan, lihat Referensi Otorisasi Layanan.

Anda dapat menjalankan perintah berikut untuk membuat contoh file kebijakan yang memungkinkan akses hanya-baca ke bucket Amazon S3. Anda dapat secara opsional menyimpan informasi konfigurasi atau skrip bootstrap di bucket ini, dan container di Pod Anda dapat membaca file dari bucket dan memuatnya ke dalam aplikasi Anda. Jika Anda ingin membuat kebijakan contoh ini, salin konten berikut ke perangkat Anda. Ganti my-pod-secrets-bucket dengan nama bucket Anda dan jalankan perintah.
```
cat >my-policy.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws: s3:::my-pod-secrets-bucket"
        }
    ]
}
EOF
```

Buat kebijakan IAM.


aws iam create-policy --policy-name my-policy --policy-document file://my-policy.json

Langkah 2: Buat dan kaitkan Peran IAM

Buat peran IAM dan kaitkan dengan akun layanan Kubernetes. Anda dapat menggunakan salah satu eksctl atau AWS CLI.

Buat dan asosiasikan peran (eksctl)

Versi 0.204.0 atau yang lebih baru dari alat baris eksctl perintah yang diinstal pada perangkat Anda atau AWS CloudShell. Untuk menginstal atau memperbaruieksctl, lihat Instalasi dalam eksctl dokumentasi.

Ganti my-service-account dengan nama akun layanan Kubernetes yang eksctl ingin Anda buat dan kaitkan dengan peran IAM. Ganti default dengan namespace tempat Anda eksctl ingin membuat akun layanan. Ganti my-cluster dengan nama klaster Anda. Ganti my-role dengan nama peran yang ingin Anda kaitkan dengan akun layanan. Jika belum ada, eksctl buatlah untuk Anda. Ganti 111122223333 dengan ID akun Anda dan my-policy dengan nama kebijakan yang ada.


eksctl create iamserviceaccount --name my-service-account --namespace default --cluster my-cluster --role-name my-role \
    --attach-policy-arn arn:aws: iam::111122223333:policy/my-policy --approve

penting

Jika akun peran atau layanan sudah ada, perintah sebelumnya mungkin gagal. eksctlmemiliki opsi berbeda yang dapat Anda berikan dalam situasi tersebut. Untuk informasi lebih lanjut jalankaneksctl create iamserviceaccount --help.

Buat dan asosiasikan peran (AWS CLI)

Jika Anda memiliki akun layanan Kubernetes yang ingin Anda ambil peran IAM, Anda dapat melewati langkah ini.

Buat akun layanan Kubernetes. Salin konten berikut ke perangkat Anda. Ganti my-service-account dengan nama yang Anda inginkan dan default dengan namespace yang berbeda, jika perlu. Jika Anda berubahdefault, namespace harus sudah ada.
```
cat >my-service-account.yaml <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account
  namespace: default
EOF
kubectl apply -f my-service-account.yaml
```

Setel ID AWS akun Anda ke variabel lingkungan dengan perintah berikut.


account_id=$(aws sts get-caller-identity --query "Account" --output text)

Tetapkan penyedia identitas OIDC cluster Anda ke variabel lingkungan dengan perintah berikut. Ganti my-cluster dengan nama klaster Anda.


oidc_provider=$(aws eks describe-cluster --name my-cluster --region $AWS_REGION --query "cluster.identity.oidc.issuer" --output text | sed -e "s/^https:\/\///")

Tetapkan variabel untuk namespace dan nama akun layanan. Ganti my-service-account dengan akun layanan Kubernetes yang ingin Anda ambil peran. Ganti default dengan namespace akun layanan.
```
export namespace=default
export service_account=my-service-account
```
Jalankan perintah berikut untuk membuat file kebijakan kepercayaan untuk peran IAM. Jika Anda ingin mengizinkan semua akun layanan dalam namespace untuk menggunakan peran, salin konten berikut ke perangkat Anda. Ganti StringEquals dengan StringLike dan ganti $service_account dengan*. Anda dapat menambahkan beberapa entri dalam StringLike kondisi StringEquals atau untuk memungkinkan beberapa akun layanan atau ruang nama mengambil peran. Untuk mengizinkan peran dari akun yang berbeda dari AWS akun yang digunakan klaster Anda untuk mengambil peran, lihat Otentikasi ke akun lain dengan IRSA untuk informasi selengkapnya.
```
cat >trust-relationship.json <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws: iam::$account_id:oidc-provider/$oidc_provider"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "$oidc_provider:aud": "sts.amazonaws.com",
          "$oidc_provider:sub": "system:serviceaccount:$namespace:$service_account"
        }
      }
    }
  ]
}
EOF
```

Buat peran. Ganti my-role dengan nama untuk peran IAM Anda, dan my-role-description dengan deskripsi untuk peran Anda.


aws iam create-role --role-name my-role --assume-role-policy-document file://trust-relationship.json --description "my-role-description"

Lampirkan kebijakan IAM ke peran Anda. Ganti my-role dengan nama peran IAM Anda dan my-policy dengan nama kebijakan yang sudah ada yang Anda buat.
```
aws iam attach-role-policy --role-name my-role --policy-arn=arn:aws: iam::$account_id:policy/my-policy
```
Beri anotasi akun layanan Anda dengan Nama Sumber Daya Amazon (ARN) dari peran IAM yang Anda inginkan untuk diasumsikan oleh akun layanan. Ganti my-role dengan nama peran IAM Anda yang ada. Misalkan Anda mengizinkan peran dari AWS akun yang berbeda dari akun tempat klaster Anda berada untuk mengambil peran pada langkah sebelumnya. Kemudian, pastikan untuk menentukan AWS akun dan peran dari akun lain. Untuk informasi selengkapnya, lihat Otentikasi ke akun lain dengan IRSA.
```
kubectl annotate serviceaccount -n $namespace $service_account eks.amazonaws.com/role-arn=arn:aws: iam::$account_id:role/my-role
```
(Opsional) Konfigurasikan titik akhir Layanan Token AWS Keamanan untuk akun layanan. AWS merekomendasikan menggunakan titik akhir AWS STS regional alih-alih titik akhir global. Ini mengurangi latensi, menyediakan redundansi bawaan, dan meningkatkan validitas token sesi.

Langkah 3: Konfirmasikan konfigurasi

Konfirmasikan bahwa kebijakan kepercayaan peran IAM telah dikonfigurasi dengan benar.


aws iam get-role --role-name my-role --query Role.AssumeRolePolicyDocument

Contoh output adalah sebagai berikut.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws: iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:default:my-service-account",
                    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"
                }
            }
        }
    ]
}

Konfirmasikan bahwa kebijakan yang Anda lampirkan pada peran Anda di langkah sebelumnya dilampirkan pada peran tersebut.
```
aws iam list-attached-role-policies --role-name my-role --query AttachedPolicies[].PolicyArn --output text
```
Contoh output adalah sebagai berikut.
```
 arn:aws: iam::111122223333:policy/my-policy
```
Tetapkan variabel untuk menyimpan Nama Sumber Daya Amazon (ARN) kebijakan yang ingin Anda gunakan. Ganti my-policy dengan nama kebijakan yang ingin Anda konfirmasi izin.
```
export policy_arn=arn:aws: iam::111122223333:policy/my-policy
```

Lihat versi default kebijakan.


aws iam get-policy --policy-arn $policy_arn

Contoh output adalah sebagai berikut.


{
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "EXAMPLEBIOWGLDEXAMPLE",
        "Arn": "arn:aws: iam::111122223333:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        [...]
    }
}

Lihat konten kebijakan untuk memastikan bahwa kebijakan tersebut menyertakan semua izin yang dibutuhkan Pod Anda. Jika perlu, ganti 1 dalam perintah berikut dengan versi yang dikembalikan pada output sebelumnya.
```
aws iam get-policy-version --policy-arn $policy_arn --version-id v1
```
Contoh output adalah sebagai berikut.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws: s3:::my-pod-secrets-bucket"
        }
    ]
}
```
Jika Anda membuat kebijakan contoh di langkah sebelumnya, maka output Anda sama. Jika Anda membuat kebijakan yang berbeda, maka example kontennya berbeda.

Konfirmasikan bahwa akun layanan Kubernetes dianotasi dengan peran tersebut.


kubectl describe serviceaccount my-service-account -n default

Contoh output adalah sebagai berikut.


Name:                my-service-account
Namespace:           default
Annotations:         eks.amazonaws.com/role-arn: arn:aws: iam::111122223333:role/my-role
Image pull secrets:  <none>
Mountable secrets:   my-service-account-token-qqjfl
Tokens:              my-service-account-token-qqjfl
[...]

Langkah selanjutnya

Konfigurasikan Pod untuk menggunakan akun layanan Kubernetes

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penyedia IAM OIDC

Tetapkan ke Pod