Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On - Amazon EKS

Unterstützung für die Verbesserung dieser Seite beitragen

Um zu diesem Benutzerhandbuch beizutragen, klicken Sie auf den Link Diese Seite auf GitHub bearbeiten, der sich im rechten Bereich jeder Seite befindet.

Verwendung von Pod Identities zum Zuweisen einer IAM-Rolle zu einem Amazon-EKS-Add-On

Bestimmte Amazon-EKS-Add-Ons erfordern IAM-Rollen und -Berechtigungen. Bevor Sie ein Amazon-EKS-Add-On aktualisieren, um eine Pod-Identity-Zuordnung zu verwenden, überprüfen Sie die zu verwendende Rolle und Richtlinie. Weitere Informationen finden Sie unter Abrufen von IAM-Informationen zu einem Amazon-EKS-Add-On.

  1. Bestimmen Sie:

    • cluster-name – Den Namen des Clusters, auf dem das Add-On installiert werden soll.

    • addon-name – Den Namen des zu installierenden Add-ons.

    • service-account-name – Den Namen des vom Add-On verwendeten Kubernetes- Servicekontos.

    • iam-role-arn – Die ARN einer IAM-Rolle mit ausreichenden Berechtigungen für das Add-On. Die Rolle muss über die erforderliche Vertrauensrichtlinie für die EKS Pod Identity verfügen. Weitere Informationen finden Sie unter Pod-Identity-Zuordnung erstellen (AWS-Konsole).

  2. Aktualisieren Sie das Add-on mithilfe der AWS-CLI. Sie können beim Erstellen eines Add-Ons mit derselben --pod-identity-assocations-Syntax auch Pod-Identity-Zuordnungen angeben. Beachten Sie, dass beim Angeben von Pod-Identity-Zuordnungen beim Aktualisieren eines Add-Ons alle vorherigen Pod-Identity-Zuordnungen überschrieben werden.

    aws eks update-addon --cluster-name <cluster-name> \
--addon-name <addon-name> \
--pod-identity-associations 'serviceAccount=<service-account-name>,roleArn=<role-arn>'

    Zum Beispiel:

    aws eks update-addon --cluster-name mycluster \
--addon-name aws-ebs-csi-driver \
--pod-identity-associations 'serviceAccount=ebs-csi-controller-sa,roleArn=arn:aws:iam::123456789012:role/StorageDriver'

  3. Überprüfen Sie, ob die Pod-Identity-Zuordnung erstellt wurde:

    aws eks list-pod-identity-associations --cluster-name <cluster-name>

    Wenn Sie erfolgreich waren, sollte die Ausgabe folgendermaßen oder ähnlich aussehen. Notieren Sie sich die OwnerARN des EKS-Add-Ons.

    {
    "associations": [
        {
            "clusterName": "mycluster",
            "namespace": "kube-system",
            "serviceAccount": "ebs-csi-controller-sa",
            "associationArn": "arn:aws:eks:us-west-2:123456789012:podidentityassociation/mycluster/a-4wvljrezsukshq1bv",
            "associationId": "a-4wvljrezsukshq1bv",
            "ownerArn": "arn:aws:eks:us-west-2:123456789012:addon/mycluster/aws-ebs-csi-driver/9cc7ce8c-2e15-b0a7-f311-426691cd8546"
        }
    ]
}