Ayude a mejorar esta página
Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.
Creación de un rol de IAM con la política de confianza requerida por Pod Identity de EKS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } ] }
-
sts:AssumeRole -
Pod Identity de EKS usa
AssumeRolepara asumir el rol de IAM antes de pasar las credenciales temporales a sus pods. -
sts:TagSession -
Pod Identity de EKS usa
TagSessionpara incluir etiquetas de sesión en las solicitudes para AWS STS. - Establecimiento de condiciones
-
Puede utilizar estas etiquetas en las claves de condición de la política de confianza para restringir qué cuentas de servicio, espacios de nombres y clústeres pueden utilizar este rol. Para ver la lista de etiquetas de solicitud que agrega Pod Identity, consulte Activación o desactivación de etiquetas de sesión.
Por ejemplo, puede restringir los pods que pueden asumir el rol de IAM de Pod Identity a la
ServiceAccounty elNamespaceespecíficos con la siguiente política de confianza con laConditionagregada:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:RequestTag/kubernetes-namespace": [ "<Namespace>" ], "aws:RequestTag/kubernetes-service-account": [ "<ServiceAccount>" ] } } } ] }
Para obtener una lista de las claves de condición de Amazon EKS, consulte Condiciones de Amazon Elastic Kubernetes Service en la Referencia de autorizaciones de servicio. Para obtener más información sobre las acciones y los recursos con los que puede utilizar una clave de condición, consulte Acciones definidas por Amazon Elastic Kubernetes Service.
