**Ayude a mejorar esta página** 

Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.

# Creación de un rol de IAM con la política de confianza requerida por Pod Identity de EKS
<a name="pod-id-role"></a>

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}
```

 ** `sts:AssumeRole` **   
Pod Identity de EKS usa `AssumeRole` para asumir el rol de IAM antes de pasar las credenciales temporales a sus pods.

 ** `sts:TagSession` **   
Pod Identity de EKS usa `TagSession` para incluir *etiquetas de sesión* en las solicitudes para AWS STS.

 **Establecimiento de condiciones**   
Puede utilizar estas etiquetas en las *claves de condición* de la política de confianza para restringir qué cuentas de servicio, espacios de nombres y clústeres pueden utilizar este rol. Para ver la lista de etiquetas de solicitud que agrega Pod Identity, consulte [Activación o desactivación de etiquetas de sesión](pod-id-abac.md#pod-id-abac-tags).  
Por ejemplo, puede restringir los pods que pueden asumir el rol de IAM de Pod Identity a la `ServiceAccount` y el `Namespace` específicos con la siguiente política de confianza con la `Condition` agregada:

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/kubernetes-namespace": [
                        "Namespace"
                    ],
                    "aws:RequestTag/kubernetes-service-account": [
                        "ServiceAccount"
                    ]
                }
            }
        }
    ]
}
```

Para obtener una lista de las claves de condición de Amazon EKS, consulte [Condiciones de Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información sobre las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Amazon Elastic Kubernetes Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions).