指派 IAM 角色至 Kubernetes 服務帳戶 - Amazon EKS
建立 Pod Identity AWS 關聯 (主控台)建立 Pod Identity 關聯 (AWS CLI)確認組態後續步驟

協助改善此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

想要為此使用者指南做出貢獻? 選擇 GitHub 上的編輯此頁面連結,該連結位於每個頁面的右窗格中。您的貢獻將幫助我們的使用者指南更適合每個人。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

指派 IAM 角色至 Kubernetes 服務帳戶

本主題說明如何設定 Kubernetes 使用 IAM Pod Identity 擔任 AWS Identity and Access Management (EKS) 角色的 服務帳戶。任何 Pods 設定為使用 服務帳戶,即可存取角色具有存取許可的任何 AWS 服務。

若要建立 EKS Pod Identity 關聯,只有一個步驟;您可以透過 AWS Management Console、Word、 AWS CLI AWS SDKs、 AWS CloudFormation 和其他工具在 EKS 中建立關聯。在任何 中,叢集內的關聯沒有任何資料或中繼資料 Kubernetes 物件,而且您不會將任何註釋新增至服務帳戶。

建立 Pod Identity AWS 關聯 (主控台)

  1. 開啟 Amazon EKS 主控台

  2. 在左側導覽窗格中,選取叢集,然後選取您要設定 EKS Pod Identity Agent 附加元件的叢集名稱。

  3. 選擇存取索引標籤。

  4. Pod 身分識別關聯中,選擇建立

  5. 針對 IAM 角色,選取具有您希望工作負載擁有之許可的 IAM 角色。

    注意

    清單僅包含具有下列信任政策的角色,允許 EKS Pod Identity 使用它們。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}

    sts:AssumeRole—EKS Pod Identity 使用 AssumeRole來擔任 IAM 角色,然後再將臨時憑證傳遞至您的 Pod。

    sts:TagSession—EKS Pod Identity 使用 TagSession工作階段標籤包含在 to AWS STS 請求中。

    您可以在信任政策的條件索引鍵中使用這些標籤,以限制哪些服務帳戶、命名空間和叢集可以使用此角色。

    如需 Amazon EKS 條件索引鍵的清單,請參閱服務授權參考中的 Amazon Elastic Kubernetes Service 定義的條件。若要了解您可以搭配哪些動作和資源使用條件索引鍵,請參閱 Amazon Elastic Kubernetes Service 定義的動作

  6. 對於 Kubernetes 命名空間,選取 Kubernetes 包含服務帳戶和工作負載的命名空間。或者,您可以依叢集中不存在的名稱指定命名空間。

  7. 對於 Kubernetes 服務帳戶,選取 Kubernetes 要使用的服務帳戶。您 的清單清單 Kubernetes 工作負載必須指定此服務帳戶。或者,您可以依名稱指定叢集中不存在的服務帳戶。

  8. (選用) 對於標籤,請選擇新增標籤,以在鍵值對中新增中繼資料。這些標籤會套用至關聯,並可用於 IAM 政策。

    您可以多次重複此步驟以新增多個標籤。

  9. 選擇 Create (建立)。

建立 Pod Identity 關聯 (AWS CLI)

  1. 如果您想要將現有的 IAM 政策與 IAM 角色建立關聯,請跳至下一個步驟。

    建立 IAM 政策。您可以建立自己的政策,或複製已授予部分所需許可的 AWS 受管政策,並根據您的特定需求加以自訂。如需詳細資訊,請參閱 IAM 使用者指南中的建立 Word 政策IAM

    1. 建立包含您想要 之 AWS 服務許可的檔案 Pods 以存取。如需所有 AWS 服務的所有動作清單,請參閱服務授權參考

      您可以執行以下命令來建立允許唯讀存取 Amazon S3 儲存貯體的範例政策檔案。您可以選擇性地將組態資訊或引導指令碼存放在此儲存貯體,以及 中的容器 Pod 可以從儲存貯體讀取檔案,並將其載入您的應用程式。如果您要建立此範例政策,請將以下內容複製到您的裝置。Replace (取代) my-pod-secrets-bucket 並執行 命令。

      cat >my-policy.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws: s3:::my-pod-secrets-bucket"
        }
    ]
}
EOF

    2. 建立 IAM 政策。

      aws iam create-policy --policy-name my-policy --policy-document file://my-policy.json

  2. 建立 IAM 角色並將其與 建立關聯 Kubernetes 服務帳戶。

    1. 如果您有現有的 Kubernetes 您要擔任 IAM 角色的服務帳戶,然後您可以略過此步驟。

      建立 Kubernetes 服務帳戶。將以下內容複製到您的裝置。Replace (取代) my-service-account 使用您想要的名稱和 default 使用不同的命名空間。如果您變更 default,命名空間必須已經存在。

      cat >my-service-account.yaml <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account
  namespace: default
EOF
kubectl apply -f my-service-account.yaml

      執行下列命令。

      kubectl apply -f my-service-account.yaml

    2. 執行下列命令,為 IAM 角色建立信任政策檔案。

      cat >trust-relationship.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}
EOF

    3. 建立角色。Replace (取代) my-role 具有 IAM 角色的名稱,以及 my-role-description 包含角色的描述。

      aws iam create-role --role-name my-role --assume-role-policy-document file://trust-relationship.json --description "my-role-description"

    4. 將 IAM 政策連接至您的角色。Replace (取代) my-role 您的 IAM 角色名稱和 my-policy 您建立的現有政策名稱。

      aws iam attach-role-policy --role-name my-role --policy-arn=arn:aws: iam::111122223333:policy/my-policy
      注意

      與服務帳戶的 IAM 角色不同,EKS Pod Identity 不會在服務帳戶上使用註釋。

    5. 執行下列命令以建立關聯。my-cluster 以叢集的名稱取代 ,取代 my-service-account 使用您想要的名稱和 default 使用不同的命名空間。

      aws eks create-pod-identity-association --cluster-name my-cluster --role-arn arn:aws: iam::111122223333:role/my-role --namespace default --service-account my-service-account

      範例輸出如下。

      {
    "association": {
        "clusterName": "my-cluster",
        "namespace": "default",
        "serviceAccount": "my-service-account",
        "roleArn": "arn:aws: iam::111122223333:role/my-role",
        "associationArn": "arn:aws::111122223333:podidentityassociation/my-cluster/a-abcdefghijklmnop1",
        "associationId": "a-abcdefghijklmnop1",
        "tags": {},
        "createdAt": 1700862734.922,
        "modifiedAt": 1700862734.922
    }
}
      注意

      您可以依叢集中不存在的名稱指定命名空間和服務帳戶。您必須建立使用 服務帳戶的命名空間、服務帳戶和工作負載,才能讓 EKS Pod Identity 關聯運作。

確認組態

  1. 確認 IAM 角色的信任政策已正確設定。

    aws iam get-role --role-name my-role --query Role.AssumeRolePolicyDocument

    範例輸出如下。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow EKS Auth service to assume this role for Pod Identities",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}

  2. 確認您在上一步連接至角色的政策已連接至該角色。

    aws iam list-attached-role-policies --role-name my-role --query AttachedPolicies[].PolicyArn --output text

    範例輸出如下。

     arn:aws: iam::111122223333:policy/my-policy

  3. 設定變數以存放您要使用之政策的 Amazon Resource Name (ARN)。Replace (取代) my-policy 您想要確認許可的政策名稱。

    export policy_arn=arn:aws: iam::111122223333:policy/my-policy

  4. 檢視預設政策版本。

    aws iam get-policy --policy-arn $policy_arn

    範例輸出如下。

    {
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "EXAMPLEBIOWGLDEXAMPLE",
        "Arn": "arn:aws: iam::111122223333:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        [...]
    }
}

  5. 檢視政策內容,以確保政策包含您 Pod 需求。如有必要,請取代 1 在下列命令中,包含上一個輸出中傳回的版本。

    aws iam get-policy-version --policy-arn $policy_arn --version-id v1

    範例輸出如下。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws: s3:::my-pod-secrets-bucket"
        }
    ]
}

    如果您在上一步建立了範例政策,則輸出結果相同。如果您建立了不同的政策,則 example 內容不同。

後續步驟

設定 pods 使用 AWS 服務帳戶存取 服務