帮助改进此页面
想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。
检索 Amazon EKS 附加组件的 IAM 信息
在创建附加组件之前,请使用 AWS CLI 确定如下因素:
-
该附加组件是否需要 IAM 权限
-
建议使用的 IAM 策略
检索有关 Amazon EKS 附加组件(AWS CLI)的 IAM 信息
-
确定要安装的附加组件的名称以及集群的 Kubernetes 版本。有关附加组件的更多信息,请参阅 Amazon EKS 附加组件。
-
使用 AWS CLI 确定该附加组件是否需要 IAM 权限。
aws eks describe-addon-versions \ --addon-name<addon-name>\ --kubernetes-version<kubernetes-version>例如:
aws eks describe-addon-versions \ --addon-name aws-ebs-csi-driver \ --kubernetes-version 1.30审查以下示例输出。请注意,
requiresIamPermissions的值为true,即默认的附加组件版本。在检索建议的 IAM 策略时,您需要指定附加组件版本。{ "addons": [ { "addonName": "aws-ebs-csi-driver", "type": "storage", "addonVersions": [ { "addonVersion": "v1.31.0-eksbuild.1", "architecture": [ "amd64", "arm64" ], "compatibilities": [ { "clusterVersion": "1.30", "platformVersions": [ "*" ], "defaultVersion": true } ], "requiresConfiguration": false, "requiresIamPermissions": true }, [...] -
如果附加组件需要 IAM 权限,请使用 AWS CLI 检索建议的 IAM 策略。
aws eks describe-addon-configuration \ --query podIdentityConfiguration \ --addon-name<addon-name>\ --addon-version<addon-version>例如:
aws eks describe-addon-configuration \ --query podIdentityConfiguration \ --addon-name aws-ebs-csi-driver \ --addon-version v1.31.0-eksbuild.1审查以下输出。记下
recommendedManagedPolicies。[ { "serviceAccount": "ebs-csi-controller-sa", "recommendedManagedPolicies": [ "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy" ] } ] -
创建 IAM 角色并附加托管策略。或者,审查托管策略并根据需要缩小权限范围。有关更多信息,请参阅 创建 EKS 容器组身份关联。
