Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On - Amazon EKS

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On

Bestimmte Amazon-EKS-Add-Ons erfordern IAM-Rollen und -Berechtigungen. Bevor Sie ein Amazon-EKS-Add-On aktualisieren, um eine Pod-Identity-Zuordnung zu verwenden, überprüfen Sie die zu verwendende Rolle und Richtlinie. Weitere Informationen finden Sie unter Abrufen von IAM-Informationen zu einem Amazon-EKS-Add-On.

  1. Bestimmen Sie:

    • cluster-name – Den Namen des Clusters, auf dem das Add-On installiert werden soll.

    • addon-name – Den Namen des zu installierenden Add-ons.

    • service-account-name – Den Namen des vom Add-On verwendeten Kubernetes- Servicekontos.

    • iam-role-arn – Die ARN einer IAM-Rolle mit ausreichenden Berechtigungen für das Add-On. Die Rolle muss über die erforderliche Vertrauensrichtlinie für die EKS Pod Identity verfügen. Weitere Informationen finden Sie unter Erstellen Sie eine Pod Identity-Zuordnung (AWS Konsole).

  2. Aktualisieren Sie das Add-on mithilfe der AWS-CLI. Sie können beim Erstellen eines Add-Ons mit derselben --pod-identity-assocations-Syntax auch Pod-Identity-Zuordnungen angeben. Beachten Sie, dass beim Angeben von Pod-Identity-Zuordnungen beim Aktualisieren eines Add-Ons alle vorherigen Pod-Identity-Zuordnungen überschrieben werden.

    aws eks update-addon --cluster-name <cluster-name> \
--addon-name <addon-name> \
--pod-identity-associations 'serviceAccount=<service-account-name>,roleArn=<role-arn>'

    Zum Beispiel:

    aws eks update-addon --cluster-name mycluster \
--addon-name aws-ebs-csi-driver \
--pod-identity-associations 'serviceAccount=ebs-csi-controller-sa,roleArn=arn:aws:iam::123456789012:role/StorageDriver'

  3. Überprüfen Sie, ob die Pod-Identity-Zuordnung erstellt wurde:

    aws eks list-pod-identity-associations --cluster-name <cluster-name>

    Wenn Sie erfolgreich waren, sollte die Ausgabe folgendermaßen oder ähnlich aussehen. Notieren Sie sich die OwnerARN des EKS-Add-Ons.

    {
    "associations": [
        {
            "clusterName": "mycluster",
            "namespace": "kube-system",
            "serviceAccount": "ebs-csi-controller-sa",
            "associationArn": "arn:aws:eks:us-west-2:123456789012:podidentityassociation/mycluster/a-4wvljrezsukshq1bv",
            "associationId": "a-4wvljrezsukshq1bv",
            "ownerArn": "arn:aws:eks:us-west-2:123456789012:addon/mycluster/aws-ebs-csi-driver/9cc7ce8c-2e15-b0a7-f311-426691cd8546"
        }
    ]
}