Buat peran IAM dengan kebijakan kepercayaan yang diperlukan oleh EKS Pod Identity - Amazon EKS

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran IAM dengan kebijakan kepercayaan yang diperlukan oleh EKS Pod Identity

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}
sts:AssumeRole

EKS Pod Identity menggunakan AssumeRole untuk mengambil peran IAM sebelum meneruskan kredensialnya sementara ke pod Anda.

sts:TagSession

EKS Pod Identity menggunakan TagSession untuk menyertakan tag sesi dalam permintaan ke AWS STS.

Pengaturan Kondisi

Anda dapat menggunakan tag ini di kunci kondisi dalam kebijakan kepercayaan untuk membatasi akun layanan, ruang nama, dan klaster mana yang dapat menggunakan peran ini. Untuk daftar tag permintaan yang ditambahkan Pod Identity, lihatMengaktifkan atau menonaktifkan tag sesi.

Misalnya, Anda dapat membatasi pod mana yang dapat mengambil peran sebagai Peran IAM Identitas Pod ke yang spesifik ServiceAccount dan Namespace dengan Kebijakan Kepercayaan berikut dengan menambahkan: Condition

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/kubernetes-namespace": [
                        "Namespace"
                    ],
                    "aws:RequestTag/kubernetes-service-account": [
                        "ServiceAccount"
                    ]
                }
            }
        }
    ]
}

Untuk daftar kunci kondisi Amazon EKS, lihat Ketentuan yang ditentukan oleh Amazon Elastic Kubernetes Service di Referensi Otorisasi Layanan. Untuk mempelajari tindakan dan sumber daya yang dapat digunakan untuk menggunakan kunci kondisi, lihat Tindakan yang ditentukan oleh Amazon Elastic Kubernetes Service.