Recuperar informações do IAM sobre um complemento do Amazon EKS - Amazon EKS
ProcedimentoReferência de suporte de Identidade de Pods

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Recuperar informações do IAM sobre um complemento do Amazon EKS

Antes de criar um complemento, use a AWS CLI para determinar:

  • Se o complemento requer permissões do IAM

  • A política de IAM sugerida para uso

Procedimento

  1. Determine o nome do complemento que você deseja instalar e a versão Kubernetes do seu cluster. Para obter mais informações sobre complementos, consulte Complementos do Amazon EKS.

  2. Use a AWS CLI para determinar se o complemento requer permissões do IAM.

    aws eks describe-addon-versions \
--addon-name <addon-name> \
--kubernetes-version <kubernetes-version>

    Por exemplo:

    aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30

    Analise o seguinte exemplo de saída. Observe que requiresIamPermissions é true e a versão padrão do complemento. Você precisa especificar a versão do complemento ao recuperar a política do IAM recomendada.

    {
    "addons": [
        {
            "addonName": "aws-ebs-csi-driver",
            "type": "storage",
            "addonVersions": [
                {
                    "addonVersion": "v1.31.0-eksbuild.1",
                    "architecture": [
                        "amd64",
                        "arm64"
                    ],
                    "compatibilities": [
                        {
                            "clusterVersion": "1.30",
                            "platformVersions": [
                                "*"
                            ],
                            "defaultVersion": true
                        }
                    ],
                    "requiresConfiguration": false,
                    "requiresIamPermissions": true
                },
[...]

  3. Se o complemento exigir permissões do IAM, use a AWS CLI para obter uma política do IAM recomendada.

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name <addon-name> \
--addon-version <addon-version>

    Por exemplo:

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1

    Analise a seguinte saída. Anote o recommendedManagedPolicies.

    [
    {
        "serviceAccount": "ebs-csi-controller-sa",
        "recommendedManagedPolicies": [
            "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
        ]
    }
]

  4. Crie um perfil do IAM e anexe a Política gerenciada recomendada. Como alternativa, revise a política gerenciada e defina o escopo das permissões conforme apropriado. Para ter mais informações, consulte Criar uma associação de identidade de pod (console do AWS ).

Referência de suporte de Identidade de Pods

A tabela a seguir indica se determinados complementos do Amazon EKS oferecem suporte à Identidade de Pods do EKS.

Nome do complemento Suporte para Identidade de Pods Versão mínima exigida

Driver da CSI do Amazon EBS

Sim

v1.26.0-eksbuild.1

CNI da Amazon VPC

Sim

v1.15.5-eksbuild.1

Amazon EFS CSI Driver

Sim

v2.0.5-eksbuild.1

AWS Distro para OpenTelemetry

Sim

v0.94.1-eksbuild.1

Driver da CSI do Mountpoint para Amazon S3

Não

N/D

Agente de observabilidade do Amazon CloudWatch

Sim

v3.1.0-eksbuild.1

Essa tabela foi atualizada pela última vez em 28 de outubro de 2024.