Recuperar informações do IAM sobre um complemento do Amazon EKS - Amazon EKS

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Recuperar informações do IAM sobre um complemento do Amazon EKS

Antes de criar um complemento, use a AWS CLI para determinar:

  • Se o complemento requer permissões do IAM

  • A política de IAM sugerida para uso

Recuperar informações do IAM sobre um complemento do Amazon EKS (AWS CLI)

  1. Determinar o nome do complemento que você deseja instalar e a versão do Kubernetes do seu cluster. Para obter mais informações sobre complementos, consulte Complementos do Amazon EKS.

  2. Use a AWS CLI para determinar se o add-on requer permissões de IAM. 

    aws eks describe-addon-versions \
--addon-name <addon-name> \
--kubernetes-version <kubernetes-version>

    Por exemplo:

    aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30

    Analise o seguinte exemplo de saída. Observe que requiresIamPermissions é true e a versão padrão do complemento. Você precisa especificar a versão do complemento ao recuperar a política do IAM recomendada.

    {
    "addons": [
        {
            "addonName": "aws-ebs-csi-driver",
            "type": "storage",
            "addonVersions": [
                {
                    "addonVersion": "v1.31.0-eksbuild.1",
                    "architecture": [
                        "amd64",
                        "arm64"
                    ],
                    "compatibilities": [
                        {
                            "clusterVersion": "1.30",
                            "platformVersions": [
                                "*"
                            ],
                            "defaultVersion": true
                        }
                    ],
                    "requiresConfiguration": false,
                    "requiresIamPermissions": true
                },
[...]

  3. Se o complemento exigir permissões do IAM, use a AWS CLI para recuperar uma política do IAM recomendada. 

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name <addon-name> \
--addon-version <addon-version>

    Por exemplo:

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1

    Analise a seguinte saída. Anote o recommendedManagedPolicies.

    [
    {
        "serviceAccount": "ebs-csi-controller-sa",
        "recommendedManagedPolicies": [
            "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
        ]
    }
]

  4. Crie um perfil do IAM e anexe a Política gerenciada recomendada. Como alternativa, revise a política gerenciada e defina o escopo das permissões conforme apropriado. Para mais informações, consulte Criar uma associação ao EKS Pod Identity.