建立 IAM 具有 所需信任政策的角色 EKS Pod Identity - Amazon EKS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 IAM 具有 所需信任政策的角色 EKS Pod Identity

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}
sts:AssumeRole

EKS Pod Identity 使用 AssumeRole來擔任 IAM 角色,然後再將臨時憑證傳遞至您的 Pod。

sts:TagSession

EKS Pod Identity 使用 TagSession工作階段標籤包含在 to AWS STS 請求中。

您可以在信任政策的條件索引鍵中使用這些標籤,以限制哪些服務帳戶、命名空間和叢集可以使用此角色。

如需 Amazon EKS 條件索引鍵的清單,請參閱服務授權參考中的 Amazon Elastic Kubernetes Service 定義的條件。若要了解您可以搭配哪些動作和資源使用條件索引鍵,請參閱 Amazon Elastic Kubernetes Service 定義的動作