Utiliser les identités du pod pour attribuer un rôle IAM à un module complémentaire Amazon EKS

Certains modules complémentaires Amazon EKS nécessitent des rôles et des autorisations IAM. Avant d’ajouter ou de mettre à jour un module complémentaire Amazon EKS pour utiliser une association d’identité du pod, vérifiez le rôle et la politique à utiliser. Pour de plus amples informations, consultez Récupérer les informations IAM sur un module complémentaire Amazon EKS.

Déterminez :
- cluster-name : le nom du cluster sur lequel installer le module complémentaire.
- addon-name : le nom du module complémentaire à installer.
- service-account-name : le nom du compte de service Kubernetes utilisé par le module complémentaire.
- iam-role-arn : l’ARN d’un rôle IAM disposant des autorisations suffisantes pour le module complémentaire. Le rôle doit disposer de la politique d’approbation requise pour l’identité du pod EKS. Pour plus d’informations, consultez Créer une association d’identité du pod (console AWS).
Mettez à jour le module complémentaire à l’aide de l’interface AWS CLI. Vous pouvez également spécifier des associations d’identité du pod lors de la création d’un module complémentaire, en utilisant la même syntaxe --pod-identity-assocations. Notez que lorsque vous spécifiez des associations d’identité du pod lors de la mise à jour d’un module complémentaire, toutes les associations d’identité du pod précédentes sont écrasées.
```
aws eks update-addon --cluster-name <cluster-name> \
--addon-name <addon-name> \
--pod-identity-associations 'serviceAccount=<service-account-name>,roleArn=<role-arn>'
```
Par exemple :
```
aws eks update-addon --cluster-name mycluster \
--addon-name aws-ebs-csi-driver \
--pod-identity-associations 'serviceAccount=ebs-csi-controller-sa,roleArn=arn:aws:iam::123456789012:role/StorageDriver'
```

Vérifiez que l’association d’identité du pod a été créée :


aws eks list-pod-identity-associations --cluster-name <cluster-name>

Si la commande aboutit, vous devriez obtenir une sortie similaire à ce qui suit. Notez le OwnerARN du module complémentaire EKS.


{
    "associations": [
        {
            "clusterName": "mycluster",
            "namespace": "kube-system",
            "serviceAccount": "ebs-csi-controller-sa",
            "associationArn": "arn:aws:eks:us-west-2:123456789012:podidentityassociation/mycluster/a-4wvljrezsukshq1bv",
            "associationId": "a-4wvljrezsukshq1bv",
            "ownerArn": "arn:aws:eks:us-west-2:123456789012:addon/mycluster/aws-ebs-csi-driver/9cc7ce8c-2e15-b0a7-f311-426691cd8546"
        }
    ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Récupérer les informations IAM

Supprimer l’identité du pod