**Unterstützung für die Verbesserung dieser Seite beitragen** 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Zugreifen auf AWS Ressourcen mithilfe von EKS Pod Identity Target IAM-Rollen
<a name="pod-id-assign-target-role"></a>

Wenn Sie Anwendungen auf Amazon Elastic Kubernetes Service (Amazon EKS) ausführen, müssen Sie möglicherweise auf AWS Ressourcen zugreifen, die in verschiedenen AWS Konten vorhanden sind. In dieser Anleitung erfahren Sie, wie Sie den kontoübergreifenden Zugriff mithilfe von EKS Pod Identity einrichten, sodass Ihre Kubernetes-Pods mithilfe von Zielrollen auf andere AWS Ressourcen zugreifen können.

## Voraussetzungen
<a name="_prerequisites"></a>

Stellen Sie vor dem Beginn sicher, dass Sie die folgenden Schritte abgeschlossen haben:
+  [Einrichtung des Amazon-EKS-Pod-Identity-Agenten](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-agent-setup.html) 
+  [Erstellung der EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) 

## So funktioniert’s
<a name="_how_it_works"></a>

Mit Pod Identity können Anwendungen in Ihrem EKS-Cluster über einen Prozess, der als Rollenverkettung bezeichnet wird, kontenübergreifend auf AWS Ressourcen zugreifen.

Wenn Sie eine Pod Identity-Zuordnung erstellen, können Sie zwei IAM-Rollen angeben: eine [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) in demselben Konto wie Ihr EKS-Cluster und eine Ziel-IAM-Rolle aus dem Konto, das Ihre AWS Ressourcen enthält, auf die Sie zugreifen möchten (wie S3-Buckets oder RDS-Datenbanken). Die [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) muss sich aufgrund der [ PassRoleIAM-Anforderungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html) im Konto Ihres EKS-Clusters befinden, während sich die Target-IAM-Rolle in jedem Konto befinden kann. AWS PassRole ermöglicht es einer AWS Entität, die Rollenübernahme an einen anderen Dienst zu delegieren. EKS Pod Identity verwendet PassRole , um eine Rolle mit einem Kubernetes-Dienstkonto zu verbinden. Dabei müssen sich sowohl die Rolle als auch die Identität, die sie übergibt, in demselben AWS Konto wie der EKS-Cluster befinden. Wenn Ihr Anwendungs-Pod auf AWS Ressourcen zugreifen muss, fordert er Anmeldeinformationen von Pod Identity an. Pod Identity führt dann automatisch zwei Rollenübernahmen nacheinander durch: Zunächst übernimmt es die [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) und verwendet dann diese Anmeldeinformationen, um die Ziel-IAM-Rolle zu übernehmen. Durch diesen Vorgang erhält Ihr Pod temporäre Anmeldeinformationen, für die die in der Zielrolle definierten Berechtigungen gelten, sodass Sie sicher auf Ressourcen in anderen AWS Konten zugreifen können.

## Überlegungen zum Caching
<a name="_caching_considerations"></a>

Aufgrund von Caching-Mechanismen werden Aktualisierungen einer IAM-Rolle in einer vorhandenen Pod-Identity-Zuordnung möglicherweise nicht sofort in den Pods wirksam, die auf Ihrem EKS-Cluster ausgeführt werden. Der Pod-Identity-Agent speichert IAM-Anmeldedaten basierend auf der Konfiguration der Zuordnung zum Zeitpunkt des Abrufs der Anmeldedaten zwischen. Wenn die Zuordnung nur eine [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) und keine Ziel-IAM-Rolle enthält, bleiben die im Cache gespeicherten Anmeldedaten 6 Stunden lang gültig. Wenn die Zuordnung sowohl die [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) ARN als auch eine Ziel-IAM-Rolle enthält, bleiben die im Cache gespeicherten Anmeldeinformationen 59 Minuten lang gültig. Durch das Ändern einer vorhandenen Zuordnung, z. B. durch Aktualisieren der ARN der [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) oder Hinzufügen einer Ziel-IAM-Rolle, wird der vorhandene Cache nicht zurückgesetzt. Daher erkennt der Agent Aktualisierungen erst, wenn die zwischengespeicherten Anmeldedaten aktualisiert werden. Um Änderungen schneller anzuwenden, können Sie die vorhandenen Pods neu erstellen. Andernfalls müssen Sie warten, bis der Cache abgelaufen ist.

## Schritt 1: Erstellen und Zuordnen einer Ziel-IAM-Rolle
<a name="_step_1_create_and_associate_a_target_iam_role"></a>

In diesem Schritt erstellen Sie eine sichere Vertrauenskette, indem Sie eine Ziel-IAM-Rolle erstellen und konfigurieren. Zur Veranschaulichung erstellen wir eine neue Target-IAM-Rolle, um eine Vertrauenskette zwischen zwei AWS Konten einzurichten: Die [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) (z. B.`eks-pod-identity-primary-role`) im AWS Konto des EKS-Clusters erhält die Erlaubnis, die Target-IAM-Rolle (z. B.`eks-pod-identity-aws-resources`) in Ihrem Zielkonto zu übernehmen, wodurch der Zugriff auf AWS Ressourcen wie Amazon S3 S3-Buckets ermöglicht wird.

### Ziel-IAM-Rolle erstellen
<a name="_create_the_target_iam_role"></a>

1. Öffnen Sie die [Amazon IAM-Konsole](https://console.aws.amazon.com/iam/home).

1. Vergewissern Sie sich in der oberen Navigationsleiste, dass Sie bei dem Konto angemeldet sind, das die AWS Ressourcen (wie S3-Buckets oder DynamoDB-Tabellen) für Ihre Target IAM-Rolle enthält.

1. Wählen Sie im linken Navigationsbereich **Roles** aus.

1. Wählen Sie die Schaltfläche „**Rolle erstellen**“ und anschließend „** AWS Konto**“ unter „Vertrauenswürdiger Entitätstyp“.

1. Wählen Sie **Anderes AWS Konto**, geben Sie Ihre AWS Kontonummer ein (das Konto, für das Ihre [EKS Pod Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) existiert) und wählen Sie dann **Weiter**.

1. **Fügen Sie die Berechtigungsrichtlinien hinzu, die Sie der Rolle zuordnen möchten (z. B. AmazonS3FullAccess), und wählen Sie dann Weiter.**

1. Geben Sie einen Rollennamen ein, z. B. `MyCustomIAMTargetRole`, und wählen Sie dann **Rolle erstellen** aus.

### Aktualisierung der Vertrauensrichtlinie für die Ziel-IAM-Rolle
<a name="_update_the_target_iam_role_trust_policy"></a>

1. Nach der Erstellung der Rolle werden Sie zur Liste **Rollen** zurückgeleitet. Suchen und wählen Sie die neue Rolle aus, die Sie im vorherigen Schritt erstellt haben (z. B. `MyCustomIAMTargetRole`).

1. Wählen Sie den Tab **Vertraunsbeziehungen**.

1. Klicken Sie auf der rechten Seite auf **Vertrauensrichtlinie bearbeiten**.

1. Ersetzen Sie im Richtlinien-Editor die Standard-JSON-Datei durch Ihre Vertrauensrichtlinie. Ersetzen Sie die Platzhalterwerte für den Rollennamen und `111122223333` im ARN der IAM-Rolle durch die AWS Konto-ID, die Ihren EKS-Cluster hostet. Sie können PrincipalTags in der Rollenvertrauensrichtlinie optional auch festlegen, dass nur bestimmte Dienstkonten aus einem bestimmten Cluster und Namespace Ihre Zielrolle übernehmen. Beispiel:

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/eks-cluster-arn": "arn:aws:eks:us-east-1:111122223333:cluster/example-cluster",
          "aws:RequestTag/kubernetes-namespace": "ExampleNameSpace",
          "aws:RequestTag/kubernetes-service-account": "ExampleServiceAccountName"
        },
        "ArnEquals": {
          "aws:PrincipalARN": "arn:aws:iam::111122223333:role/eks-pod-identity-primary-role"
        }
      }
    }
  ]
}
```

Mit der obigen Richtlinienrichtlinie kann die Rolle `eks-pod-identeity-primary-role` aus dem AWS Konto 111122223333 mit den entsprechenden [EKS Pod Identity-Sitzungstags](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-abac.html) diese Rolle übernehmen.

Wenn Sie [Sitzungs-Tags in Ihrer EKS-Pod-Identität deaktiviert](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-abac.html#pod-id-abac-tags) haben, legt die EKS Pod Identity beim Übernehmen einer Ziel-Rolle auch die `sts:ExternalId` mit Informationen zum Cluster, Namespace und Servicekonto eines Pods fest.

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "region/111122223333/cluster-name/namespace/service-account-name"
        },
        "ArnEquals": {
          "aws:PrincipalARN": "arn:aws:iam::111122223333:role/eks-pod-identity-primary-role"
        }
      }
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:TagSession"
    }
  ]
}
```

Die oben genannte Richtlinie trägt dazu bei, dass nur der erwartete Cluster, Namespace und das Servicekonto die Zielrolle übernehmen können.

### Aktualisierung der Berechtigungsrichtlinie für die EKS-Pod-Identity-Rolle
<a name="_update_the_permission_policy_for_eks_pod_identity_role"></a>

In diesem Schritt aktualisieren Sie die Berechtigungsrichtlinie der [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html), die Ihrem Amazon-EKS-Cluster zugeordnet ist, indem Sie die Ziel-IAM-Rolle ARN als Ressource hinzufügen.

1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).

1. Wählen Sie im linken Navigationsbereich **Cluster** und anschließend den Namen des EKS-Clusters, den Sie ändern möchten.

1. Wählen Sie die Registerkarte **Zugriff** aus.

1. Wählen Sie unter **Pod Identity-Zuordnungen** Ihre [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) aus.

1. Wählen Sie **Berechtigungen**, **Berechtigungen hinzufügen** und anschließend **Inline-Richtlinie erstellen** aus.

1. Wählen Sie auf der rechten Seite **JSON** aus.

1. Ersetzen Sie im Richtlinien-Editor die Standard-JSON-Datei durch Ihre Berechtigungsrichtlinie. Ersetzen Sie den Platzhalterwert für den Rollennamen und `222233334444` in der IAM-Rolle ARN durch Ihre Ziel-IAM-Rolle. Beispiel:

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Resource": "arn:aws:iam::222233334444:role/eks-pod-identity-aws-resources"
        }
    ]
}
```

## Schritt 2: Zuordnung der Ziel-IAM-Rolle zu einem Kubernetes-Servicekonto
<a name="_step_2_associate_the_target_iam_role_to_a_kubernetes_service_account"></a>

In diesem Schritt erstellen Sie eine Zuordnung zwischen der Ziel-IAM-Rolle und dem Kubernetes-Servicekonto in Ihrem EKS-Cluster.

1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).

1. Wählen Sie im linken Navigationsbereich **Cluster** und anschließend den Namen des Clusters aus, zu dem Sie die Zuordnung hinzufügen möchten.

1. Wählen Sie die Registerkarte **Zugriff** aus.

1. Wählen Sie in den **Pod-Identity-Zuordnungen** die Option **Erstellen** aus.

1. Wählen Sie die [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) in der **IAM-Rolle** für Ihre Workloads aus.

1. Wählen Sie die Ziel-IAM-Rolle in der **Ziel-IAM-Rolle** aus, die von der [EKS-Pod-Identity-Rolle](https://docs.aws.amazon.com/eks/latest/userguide/pod-id-role.html) übernommen werden soll.

1. Geben Sie im Feld **Kubernetes-Namespace** den Namen des Namespace ein, in dem Sie die Zuordnung erstellen möchten (z. B. `my-app-namespace`). Dies definiert, wo sich das Servicekonto befindet.

1. Geben Sie im Feld **Kubernetes-Servicekonto** den Namen des Servicekontos ein (z. B. `my-service-account`), das die IAM-Anmeldeinformationen verwenden soll. Dadurch wird die IAM-Rolle dem Servicekonto zugeordnet.

1. (Optional) Wählen Sie **Sitzungs-Tags deaktivieren** aus, um die Standardsitzungs-Tags zu deaktivieren, die Pod Identity automatisch hinzufügt, wenn es die Rolle übernimmt.

1. (Optional) Schalten **Sie „Sitzungsrichtlinie konfigurieren**“ um, um eine IAM-Richtlinie so zu konfigurieren, dass zusätzliche Einschränkungen auf diese Pod-Identity-Zuordnung angewendet werden, die über die Berechtigungen hinausgehen, die in der IAM-Richtlinie für die **Ziel-IAM-Rolle** definiert sind.
**Anmerkung**  
1. Eine Sitzungsrichtlinie kann nur angewendet werden, wenn die Einstellung **Sitzungs-Tags deaktivieren aktiviert** ist. 2. Wenn Sie eine Sitzungsrichtlinie angeben, gelten die Richtlinieneinschränkungen für die Berechtigungen der **Target-IAM-Rolle** und nicht für die **IAM-Rolle**, die dieser Pod-Identity-Zuordnung zugeordnet ist.

1. Wählen Sie **Erstellen** aus, um die Zuordnung zu erstellen.