在EKS叢集上啟用服務帳戶 (IRSA) IAM的角色 - Amazon EMR
使用 為您的叢集建立IAMOIDC身分提供者 eksctl使用 為您的叢集建立IAMOIDC身分提供者 AWS Management Console

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在EKS叢集上啟用服務帳戶 (IRSA) IAM的角色

服務帳戶功能IAM的角色適用於 Amazon 1EKS.14 版及更新版本,以及 2019 年 9 月 3 日或之後更新至 1.13 版或更新版本的EKS叢集。若要使用此功能,您可以將現有EKS叢集更新至 1.14 版或更新版本。如需詳細資訊,請參閱更新 Amazon EKS叢集 Kubernetes 版本

如果您的叢集支援服務帳戶IAM的角色,則其具有與其URL相關聯的 OpenID Connect 發行者。您可以在 Amazon EKS主控台URL中檢視,也可以使用下列 AWS CLI 命令來擷取。

重要

您必須使用最新版本的 AWS CLI ,才能從此命令接收適當的輸出。

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

預期輸出如下。

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

若要在叢集中使用服務帳戶IAM的角色,您必須使用 eksctl 或 建立OIDC身分提供者AWS Management Console

使用 為您的叢集建立IAMOIDC身分提供者 eksctl

使用以下命令檢查您的 eksctl 版本。此程序假設您已安裝 eksctl,且您的 eksctl 版本為 0.32.0 或更高版本。

eksctl version

如需有關安裝或升級 eksctl 的詳細資訊,請參閱安裝或升級 eksctl

使用下列命令為您的叢集建立OIDC身分提供者。Replace (取代) cluster_name 使用您自己的值。

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

使用 為您的叢集建立IAMOIDC身分提供者 AWS Management Console

從叢集的 Amazon URL EKS主控台描述擷取OIDC發行者,或使用下列 AWS CLI 命令。

使用下列命令URL從 擷取OIDC發行者 AWS CLI。

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

使用下列步驟URL從 Amazon EKS主控台擷取OIDC發行者。

  1. 在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽面板中,選擇身分提供者,然後選擇建立提供者

    1. 處理 Provider Type (提供者類型) 時,請選擇 Choose a provider type (選擇提供者類型),然後選擇 OpenID Connect

    2. 對於提供者 URL,請貼上URL叢集的OIDC發行者。

    3. 如果為「對象」,則輸入 sts.amazonaws.com,然後選擇下一步

  3. 確認供應商資訊是否正確,然後選擇 Create (建立) 來建立您的身分提供者。