協助改善此頁面
想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAMAmazon EKS 附加元件角色
某些 Amazon EKS 附加元件需要IAM角色和許可才能呼叫 AWS APIs。例如,Amazon VPC CNI 附加元件會調用某些設 AWS APIs定帳戶中的聯網資源。這些附加元件需要被授予使用的權限IAM。更具體地說,執行附加元件之網繭的服務帳戶必須與具有特定IAM原則的IAM角色相關聯。
向叢集工作負載授與 AWS 許可的建議方式是使用 Amazon EKS 功能 Pod 身分。您可以使用網繭身分識別關聯,將附加元件的服務帳戶對應至IAM角色。如果網繭使用具有關聯的服務帳戶,Amazon 會在網繭的容器中EKS設定環境變數。環境變數會 AWS SDKs將 (包括) 設定為使用EKS網繭身分認證。 AWS CLI如需詳細資訊,請參閱 了解如何EKS Pod Identity授予網繭存取 AWS 服務
Amazon EKS 附加元件可協助管理與附加元件對應之網繭身分關聯的生命週期。例如,您可以在單一呼叫中建立或更新 Amazon EKS 附加元件和必要的網繭身分關API聯。Amazon EKS 還提供了一個API用於檢索建議的IAM政策。
建議用法:
-
確認您的叢集上已設定 Amazon EKS 網繭身分識別代理程式。
-
判斷您要安裝的附加元件是否需要使用此
describe-addon-versions
AWS CLI 作業的IAM權限。如果標requiresIamPermissions
誌是true
,那麼您應該使用該describe-addon-configurations
操作來確定插件所需的權限。回應包含建議的受管理IAM策略清單。 -
使用此作業擷取 Kubernetes 服務帳戶的名稱和IAM原則。
describe-addon-configuration
CLI根據您的安全需求評估建議策略的範圍。 -
使用建議的權限原則以及網繭身分所需的信任原則建立IAM角色。如需詳細資訊,請參閱建立EKS網繭身分識別關聯。
-
使用建立或更新 Amazon EKS 附加元件CLI。指定至少一個網繭身分識別關聯。網繭身分識別關聯是Kubernetes服務帳戶的名稱,也是IAM角色ARN的名稱。
考量:
-
使用附APIs加元件建立的網繭身分識別關聯屬於個別附加元件。如果您刪除附加元件,網繭身分識別關聯也會一併刪除。您可以在使用或刪除附加元件時,使用
preserve
選項來防止此重疊刪除。 AWS CLI API如有必要,您也可以直接更新或刪除網繭身分識別關聯。附加元件無法承擔現有網繭身分識別關聯的擁有權。您必須刪除現有的關聯,然後使用附加元件的建立或更新作業重新建立它。 -
Amazon EKS 建議您使用網繭身分關聯來管理附加元件的IAM許可。仍然支援先前的方法,即服務帳戶 (IRSA) 的IAM角色。您可以為附加元件指定IRSA
serviceAccountRoleArn
和網繭身分識別關聯。如果EKS網繭身分識別代理程式已安裝在叢集上,則serviceAccountRoleArn
會忽略該代理程式,並EKS使用提供的網繭身分識別關聯。如果未啟用網繭身分識別,serviceAccountRoleArn
將會使用。 -
如果您更新現有附加元件的網繭身分關聯,Amazon 會EKS啟動附加元件網繭的滾動重新啟動。