Abrufen von IAM-Informationen zu einem Amazon-EKS-Add-On - Amazon EKS
VerfahrenUnterstützungsreferenz für Pod Identity

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Abrufen von IAM-Informationen zu einem Amazon-EKS-Add-On

Bevor Sie ein Add-On erstellen, ermitteln Sie mithilfe der AWS-CLI:

  • Ob das Add-On IAM-Berechtigungen benötigt

  • Die empfohlene zu verwendende IAM-Richtlinie

Verfahren

  1. Bestimmen Sie den Namen des Add-ons, das Sie installieren möchten, und die Kubernetes-Version Ihres Clusters. Weitere Informationen zu Add-ons finden Sie unter Amazon-EKS-Add-ons.

  2. Verwenden Sie die AWS-CLI, um zu bestimmen, ob das AddO-n IAM-Berechtigungen erfordert.

    aws eks describe-addon-versions \
--addon-name <addon-name> \
--kubernetes-version <kubernetes-version>

    Zum Beispiel:

    aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30

    Sehen Sie sich die folgende Beispielausgabe an. Beachten Sie, dass requiresIamPermissions true ist und die Standard-Add-On-Version darstellt. Sie müssen die Add-On-Version angeben, wenn Sie die empfohlene IAM-Richtlinie abrufen.

    {
    "addons": [
        {
            "addonName": "aws-ebs-csi-driver",
            "type": "storage",
            "addonVersions": [
                {
                    "addonVersion": "v1.31.0-eksbuild.1",
                    "architecture": [
                        "amd64",
                        "arm64"
                    ],
                    "compatibilities": [
                        {
                            "clusterVersion": "1.30",
                            "platformVersions": [
                                "*"
                            ],
                            "defaultVersion": true
                        }
                    ],
                    "requiresConfiguration": false,
                    "requiresIamPermissions": true
                },
[...]

  3. Wenn das Add-On IAM-Berechtigungen erfordert, verwenden Sie die AWS-CLI, um eine empfohlene IAM-Richtlinie abzurufen.

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name <addon-name> \
--addon-version <addon-version>

    Zum Beispiel:

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1

    Überprüfen Sie die folgende Ausgabe. Beachten Sie den recommendedManagedPolicies.

    [
    {
        "serviceAccount": "ebs-csi-controller-sa",
        "recommendedManagedPolicies": [
            "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
        ]
    }
]

  4. Erstellen Sie eine IAM-Rolle und fügen Sie die empfohlene verwaltete Richtlinie an. Alternativ können Sie die verwaltete Richtlinie überprüfen und die Berechtigungen entsprechend einschränken. Weitere Informationen finden Sie unter Pod-Identity-Zuordnung erstellen (AWS-Konsole).

Unterstützungsreferenz für Pod Identity

Die folgende Tabelle gibt an, ob bestimmte Amazon-EKS-Add-Ons EKS Pod Identity unterstützen.

Add-On-Name Unterstützung für Pod Identity Erforderliche Mindestversion

Amazon-EBS-CSI-Treiber

Ja

v1.26.0-eksbuild.1

Amazon VPC CNI

Ja

v1.15.5-eksbuild.1

Amazon EFS-CSI-Treiber

Ja

v2.0.5-eksbuild.1

AWS Distro for OpenTelemetry

Ja

v0.94.1-eksbuild.1

CSI-Treiber für Mountpoint für Amazon S3

Nein

N/A

Amazon-CloudWatch-Beobachtbarkeits-Agent

Ja

v3.1.0-eksbuild.1

Diese Tabelle wurde zuletzt am 28. Oktober 2024 aktualisiert.