了解 EKS Pod Identity 如何向容器组授予对 AWS 服务的访问权限
容器组(pod)的容器中的应用程序可以使用 AWS SDK 或 AWS CLI 以向使用 AWS Identity and Access Management(IAM)权限的 AWS 服务 发出 API 请求。应用程序必须通过 AWS 凭证签署 AWS API 请求。
Amazon EKS 容器组身份提供管理应用程序凭证的功能,类似于 Amazon EC2 实例配置文件为 Amazon EC2 实例提供凭证的方式。您可以将 IAM 角色与 Kubernetes 服务账户关联并配置 Pods 使用服务账户,而不是创建 AWS 凭证并将其分配到容器或使用 Amazon EC2 实例的角色。
每个 EKS 容器组身份关联都将角色映射到指定集群命名空间中的服务账户。如果您在多个集群中使用相同的应用程序,则可以在每个集群中进行相同的关联,而无需修改角色的信任策略。
如果某个容器组使用具有关联的服务账户,Amazon EKS 会在容器组的容器中设置环境变量。环境变量配置 AWS SDK(包括 AWS CLI)使用 EKS 容器组身份凭证。
EKS 容器组身份的优势
EKS 容器组身份具有以下优势:
-
最低权限 – 您可以将 IAM 权限范围限定到服务账户,并且只有使用该服务账户的 Pods 可以访问这些权限。此功能还消除了对
kiam
或kube2iam
等第三方解决方案的需求。 -
凭证隔离 – Pod’s 的容器只能检索与该容器所使用服务账户关联的 IAM 角色的凭证。容器永远无法访问其他 Pods 中其他容器所使用的凭证。使用容器组身份时,Pod’s 容器还具有分配给 Amazon EKS 节点 IAM 角色 的权限,除非您阻止 Pod 访问 Amazon EC2 实例元数据服务(IMDS)。有关更多信息,请参阅限制对分配给工作节点的实例配置文件的访问
。 -
可审计性 – 可通过 AWS CloudTrail 进行访问和事件日志记录,帮助确保追溯性审计。
EKS 容器组身份是一种比 服务账户的 IAM 角色 更简单的方法,因为此方法不使用 OIDC 身份提供者。EKS 容器组身份具有以下增强功能:
-
独立操作:在许多组织中,不同的团队负责创建 OIDC 身份提供者,而不是管理 Kubernetes 集群。EKS 容器组身份有明确的职责分工,EKS 容器组身份关联的所有配置都在 Amazon EKS 中完成,而 IAM 权限的所有配置都在 IAM 中完成。
-
可重用性:EKS 容器组身份使用单个 IAM 主体,而不是服务账户 IAM 角色使用的每个集群的单独主体。IAM 管理员将以下主体添加到任何角色的信任策略中,使其可供 EKS 容器组身份使用。
"Principal": { "Service": "pods.eks.amazonaws.com" }
-
可扩展性 – 每组临时凭证均由 EKS 容器组身份中的 EKS Auth 服务使用,而不是由每个容器组中运行的每个 AWS SDK 使用。然后,在每个节点上运行的 Amazon EKS 容器组身份代理向 SDK 发放凭证。因此,每个节点的负载减少至一次,而且不会在每个容器组中重复。有关该过程的更多详细信息,请参阅 了解 EKS Pod Identity 的工作原理。
有关比较两种替代方案的更多信息,请参阅 使用 Kubernetes 服务账户授予 Kubernetes 工作负载访问 AWS 的权限。
EKS 容器组身份设置概述
完成以下过程,打开 EKS 容器组身份:
-
设置 Amazon EKS 容器组身份代理 – 对于每个集群,您只需完成一次此步骤。
-
为 Kubernetes 服务账户分配 IAM 角色 – 针对您希望应用程序拥有的每组唯一权限完成此步骤。
-
配置 pods 以使用服务账户访问 AWS 服务 – 为需要访问 AWS 服务的每个 Pod 完成此步骤。
-
将容器组身份与 AWS SDK 结合使用 – 确认工作负载使用支持版本的 AWS SDK,并且工作负载使用默认凭证链。
EKS 容器组身份注意事项
-
您可以将一个 IAM 角色关联到每个集群中的每个 Kubernetes 服务账户。您可以编辑 EKS 容器组身份关联,来更改映射到服务账户的角色。
-
只能关联与集群属于同一 AWS 账户的角色。您可以将其他账户访问权限委派给此账户中的角色,也即您配置的供 EKS 容器组身份使用的角色。有关关于委派访问和
AssumeRole
的教程,请参阅 《IAM 用户指南》中的使用 IAM 角色委派 AWS 账户的访问。 -
EKS 容器组身份代理是必需的。此代理作为 Kubernetes
DaemonSet
在您的节点上运行,并且仅向其运行节点上的容器组提供凭证。有关 EKS 容器组身份代理兼容性的更多信息,请参阅以下部分 EKS 容器组身份限制: -
如果您将适用于容器组(pod)的安全组与容器组身份代理配合使用,则可能需要为 AWS VPC CNI 设置
POD_SECURITY_GROUP_ENFORCING_MODE
标志。有关适用于容器组(pod)的安全组注意事项的更多信息,请参阅将安全组分配到单个 pods。 -
EKS 容器组身份代理使用节点的
hostNetwork
,并使用节点上链路本地地址上的端口80
和端口2703
。对于 IPv4,该地址是169.254.170.23
;对于 IPv6 集群,该地址是[fd00:ec2::23]
。如果禁用
IPv6
地址或以其它方式阻止本地主机IPv6
IP 地址,代理将无法启动。要在无法使用IPv6
的节点上启动代理,请按照 在 EKS 容器组身份代理中禁用 IPv6 中的步骤禁用IPv6
配置。
EKS 容器组身份集群版本
要使用 EKS 容器组身份,集群的平台版本必须与下表中所列的版本相同或更高,或者 Kubernetes 版本必须比下表中所列的版本更高。
Kubernetes 版本 | 平台版本 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
EKS 容器组身份限制
EKS 容器组身份适用于:
-
上一个主题 EKS 容器组身份集群版本 中列出的 Amazon EKS 集群版本。
-
集群中属于 Linux Amazon EC2 实例的 Worker 节点。
EKS 容器组身份不适用于:
-
AWS Outposts。
-
Amazon EKS Anywhere。
-
您在 Amazon EC2 上创建和运行的 Kubernetes 集群。EKS 容器组身份组件仅在 Amazon EKS 上可用。
您不能将 EKS 容器组身份用于:
-
在 Linux Amazon EC2 实例之外的任何位置运行的容器组。不支持在 AWS Fargate(Fargate)上运行的 Linux 和 Windows 容器组。不支持 Windows Amazon EC2 实例上运行的容器组。
-
需要 IAM 凭证的 Amazon EKS 插件。EKS 插件只能使用服务账户的 IAM 角色。使用 IAM 凭证的 EKS 插件列表包括:
-
CSI 存储驱动程序:EBS CSI、EFS CSI、Amazon FSx for NetApp ONTAP CSI 驱动程序、Amazon FSx for NetApp ONTAP CSI 驱动程序、Amazon FSx for OpenZFS CSI 驱动程序、Amazon File Cache CSI 驱动程序、适用于 Kubernetes Secrets Store CSI 驱动程序的 AWS Secrets and Configuration Provider(ASCP)
注意
如果这些控制器、驱动程序和插件作为自我管理的插件而不是作为 EKS 插件安装,则只要其更新为使用最新的 AWS SDK,则支持 EKS 容器组身份。
-