IAMAmazon EKS 附加元件角色 - Amazon EKS

協助改善此頁面

想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAMAmazon EKS 附加元件角色

某些 Amazon EKS 附加元件需要IAM角色和許可才能呼叫 AWS APIs。例如,Amazon VPC CNI 附加元件會調用某些設 AWS APIs定帳戶中的聯網資源。這些附加元件需要被授予使用的權限IAM。更具體地說,執行附加元件之網繭的服務帳戶必須與具有特定IAM原則的IAM角色相關聯。

向叢集工作負載授與 AWS 許可的建議方式是使用 Amazon EKS 功能 Pod 身分。您可以使用網繭身分識別關聯,將附加元件的服務帳戶對應至IAM角色。如果網繭使用具有關聯的服務帳戶,Amazon 會在網繭的容器中EKS設定環境變數。環境變數會 AWS SDKs將 (包括) 設定為使用EKS網繭身分認證。 AWS CLI如需詳細資訊,請參閱 了解如何EKS Pod Identity授予網繭存取 AWS 服務

Amazon EKS 附加元件可協助管理與附加元件對應之網繭身分關聯的生命週期。例如,您可以在單一呼叫中建立或更新 Amazon EKS 附加元件和必要的網繭身分關API聯。Amazon EKS 還提供了一個API用於檢索建議的IAM政策。

建議用法:

  1. 確認您的叢集上已設定 Amazon EKS 網繭身分識別代理程式

  2. 判斷您要安裝的附加元件是否需要使用此describe-addon-versions AWS CLI 作業的IAM權限。如果標requiresIamPermissions誌是true,那麼您應該使用該describe-addon-configurations操作來確定插件所需的權限。回應包含建議的受管理IAM策略清單。

  3. 使用此作業擷取 Kubernetes 服務帳戶的名稱和IAM原則。describe-addon-configuration CLI根據您的安全需求評估建議策略的範圍。

  4. 使用建議的權限原則以及網繭身分所需的信任原則建立IAM角色。如需詳細資訊,請參閱建立EKS網繭身分識別關聯

  5. 使用建立或更新 Amazon EKS 附加元件CLI。指定至少一個網繭身分識別關聯。網繭身分識別關聯是Kubernetes服務帳戶的名稱,也是IAM角色ARN的名稱。

考量:

  • 使用附APIs加元件建立的網繭身分識別關聯屬於個別附加元件。如果您刪除附加元件,網繭身分識別關聯也會一併刪除。您可以在使用或刪除附加元件時,使用preserve選項來防止此重疊刪除。 AWS CLI API如有必要,您也可以直接更新或刪除網繭身分識別關聯。附加元件無法承擔現有網繭身分識別關聯的擁有權。您必須刪除現有的關聯,然後使用附加元件的建立或更新作業重新建立它。

  • Amazon EKS 建議您使用網繭身分關聯來管理附加元件的IAM許可。仍然支援先前的方法,即服務帳戶 (IRSA) 的IAM角色。您可以為附加元件指定IRSAserviceAccountRoleArn和網繭身分識別關聯。如果EKS網繭身分識別代理程式已安裝在叢集上,則serviceAccountRoleArn會忽略該代理程式,並EKS使用提供的網繭身分識別關聯。如果未啟用網繭身分識別,serviceAccountRoleArn將會使用。

  • 如果您更新現有附加元件的網繭身分關聯,Amazon 會EKS啟動附加元件網繭的滾動重新啟動。