IAM-Rollen für Amazon-EKS-Add-Ons - Amazon EKS

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

IAM-Rollen für Amazon-EKS-Add-Ons

Bestimmte Amazon-EKS-Add-Ons erfordern IAM-Rollen und -Berechtigungen, um AWS-APIs aufzurufen. Das Add-On für Amazon-VPC-CNI ruft beispielsweise bestimmte AWS-APIs auf, um die Netzwerkressourcen in Ihrem Konto zu konfigurieren. Für diese Add-Ons muss über IAM eine Berechtigung gewährt werden. Genauer gesagt muss das Servicekonto des Pods, in dem das Add-On ausgeführt wird, einer IAM-Rolle mit einer bestimmten IAM-Richtlinie zugeordnet werden.

Die empfohlene Methode zum Gewähren von AWS-Berechtigungen für Cluster-Workloads ist die Verwendung des Amazon-EKS-Features für Pod Identities. Sie können eine Pod-Identity-Zuordnung verwenden, um das Servicekonto eines Add-Ons einer IAM-Rolle zuzuordnen. Wenn ein Pod ein Servicekonto mit einer Zuordnung verwendet, legt Amazon EKS Umgebungsvariablen in den Containern des Pods fest. Die Umgebungsvariablen konfigurieren die AWS-SDKs, einschließlich der AWS-CLI, für die Verwendung der Anmeldeinformationen für EKS Pod Identity. Weitere Informationen finden Sie unter Erfahren Sie, wie EKS Pod Identity Pods Zugriff auf AWS-Services gewährt.

Amazon-EKS-Add-Ons können Sie bei der Verwaltung des Lebenszyklus von Pod-Identity-Zuordnungen unterstützen, die dem Add-On entsprechen. Beispielsweise können Sie ein Amazon-EKS-Add-On und die erforderliche Pod-Identity-Zuordnung mit einem einzigen API-Aufruf erstellen oder aktualisieren. Amazon EKS stellt auch eine API zum Abrufen empfohlener IAM-Richtlinien zur Verfügung.

  1. Überprüfen Sie, ob der Amazon EKS Pod Identity Agent in Ihrem Cluster eingerichtet ist.

  2. Ermitteln Sie mithilfe der describe-addon-versions AWS-CLI-Operation, ob das Add-On, das Sie installieren möchten, IAM-Berechtigungen erfordert. Wenn es sich beim requiresIamPermissions-Flag um true handelt, sollten Sie die describe-addon-configurations-Operation verwenden, um die vom Add-On benötigten Berechtigungen zu ermitteln. Die Antwort enthält eine Liste mit vorgeschlagenen verwalteten IAM-Richtlinien.

  3. Rufen Sie den Namen des Kubernetes- Servicekontos und die IAM-Richtlinie mithilfe der describe-addon-configuration-CLI-Operation ab. Bewerten Sie den Umfang der vorgeschlagenen Richtlinie anhand Ihrer Sicherheitsanforderungen.

  4. Erstellen Sie eine IAM-Rolle mithilfe der vorgeschlagenen Berechtigungsrichtlinie und der von Pod Identity benötigten Vertrauensrichtlinie. Weitere Informationen finden Sie unter Pod-Identity-Zuordnung erstellen (AWS-Konsole).

  5. Erstellen oder aktualisieren Sie ein Amazon-EKS-Add-On mithilfe der CLI. Geben Sie mindestens eine Pod-Identity-Zuordnung an. Eine Pod-Identity-Zuordnung besteht aus dem Namen eines Kubernetes-Servicekontos und der ARN der IAM-Rolle.

    • Pod-Identitätszuordnungen, die mithilfe der Add-On-APIs erstellt wurden, sind Eigentum des jeweiligen Add-Ons. Wenn Sie das Add-On löschen, wird auch die Pod-Identity-Zuordnung gelöscht. Sie können diese kaskadenartige Löschung verhindern, indem Sie beim Löschen eines Add-Ons über die AWS-CLI oder API die entsprechende preserve-Option verwenden. Bei Bedarf können Sie die Pod-Identity-Zuordnung auch direkt aktualisieren oder löschen. Add-Ons können keine vorhandenen Pod-Identity-Zuordnungen übernehmen. Sie müssen die vorhandene Zuordnung löschen und sie mithilfe eines Vorgangs zu Add-On-Erstellung oder -Aktualisierung neu erstellen.

    • Amazon EKS empfiehlt die Verwendung von Pod-Identity-Zuordnungen zur Verwaltung von IAM-Berechtigungen für Add-Ons. Die bisherige Methode, IAM-Rollen für Servicekonten (IRSA), wird weiterhin unterstützt. Sie können sowohl eine IRSA-serviceAccountRoleArn als auch eine Pod-Identity-Zuordnung für ein Add-On festlegen. Wenn der EKS-Pod-Identity-Agent auf dem Cluster installiert ist, wird die serviceAccountRoleArn ignoriert, und EKS verwendet die bereitgestellte Pod-Identity-Zuordnung. Wenn die Pod Identity nicht aktiviert ist, wird die serviceAccountRoleArn verwendet.

    • Wenn Sie die Pod-Identity-Zuordnungen für ein vorhandenes Add-On aktualisieren, initiiert Amazon EKS einen fortlaufenden Neustart der Add-On-Pods.