Ruoli IAM per i componenti aggiuntivi di Amazon EKS - Amazon EKS

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Ruoli IAM per i componenti aggiuntivi di Amazon EKS

Alcuni componenti aggiuntivi Amazon EKS richiedono ruoli IAM e autorizzazioni per chiamare le API AWS. Ad esempio, il componente aggiuntivo CNI di Amazon VPC richiama determinate API AWS per configurare le risorse di rete nell’account. A questi componenti aggiuntivi deve essere concessa l’autorizzazione tramite IAM. Più specificamente, l’account di servizio del pod che esegue il componente aggiuntivo deve essere associato a un ruolo IAM con una policy IAM specifica.

Il modo consigliato per concedere autorizzazioni AWS ai carichi di lavoro del cluster è utilizzare la funzionalità di Pod Identity di Amazon EKS. Puoi utilizzare un’associazione di Pod Identity per mappare l’account di servizio di un componente aggiuntivo a un ruolo IAM. Se un pod utilizza un account di servizio con un’associazione, Amazon EKS imposta le variabili di ambiente nei container del pod. Le variabili di ambiente configurano AWS SDK, inclusa AWS CLI, per utilizzare le credenziali di EKS Pod Identity. Per ulteriori informazioni, consulta Informazioni su come EKS Pod Identity consente ai pod di accedere ai servizi AWS

I componenti aggiuntivi di Amazon EKS possono aiutare a gestire il ciclo di vita delle associazioni di Pod Identity corrispondenti al componente aggiuntivo. Ad esempio, puoi creare o aggiornare un componente aggiuntivo di Amazon EKS e l’associazione di Pod Identity necessaria in una singola chiamata API. Amazon EKS fornisce anche un’API per il recupero delle policy IAM suggerite.

  1. Conferma che l’agente Pod Identity di Amazon EKS sia configurato sul cluster.

  2. Determina se il componente aggiuntivo che si desidera installare richiede le autorizzazioni IAM utilizzando l’operazione describe-addon-versions su AWS CLI. Se il flag requiresIamPermissions è true, allora dovresti usare l’operazione describe-addon-configurations per determinare le autorizzazioni necessarie al componente aggiuntivo. La risposta include un elenco di policy IAM gestite suggerite.

  3. Recupera il nome dell’account di servizio Kubernetes e la policy IAM utilizzando l’operazione describe-addon-configuration CLI. Valuta l’ambito della policy suggerita rispetto ai requisiti di sicurezza.

  4. Crea un ruolo IAM utilizzando la policy di autorizzazioni suggerita e la policy di attendibilità richiesta da Pod Identity. Per ulteriori informazioni, consulta Crea un’associazione Pod Identity (AWS console).

  5. Crea o aggiorna un componente aggiuntivo Amazon EKS utilizzando la CLI. Specifica almeno un’associazione di Pod Identity. Un’associazione di Pod Identity è il nome di un account di servizio Kubernetes e l’ARN del ruolo IAM.

    • Le associazioni di Pod Identity create utilizzando le API del componente aggiuntivo sono di proprietà del rispettivo componente aggiuntivo. Se elimini il componente aggiuntivo, viene eliminata anche l’associazione di Pod Identity. Puoi impedire questa eliminazione a cascata utilizzando l’opzione preserve quando si elimina un componente aggiuntivo utilizzando la AWS CLI o l’API. Se necessario, puoi anche aggiornare o eliminare direttamente l’associazione di Pod Identity. I componenti aggiuntivi non possono assumere la proprietà delle associazioni di Pod Identity esistenti. Devi eliminare l’associazione esistente e ricrearla usando un’operazione di creazione o aggiornamento di un componente aggiuntivo.

    • Amazon EKS consiglia di utilizzare le associazioni di Pod Identity per gestire le autorizzazioni IAM per i componenti aggiuntivi. Il metodo precedente, ruoli IAM per account di servizio (IRSA), è ancora supportato. Puoi specificare sia un serviceAccountRoleArn IRSA che un’associazione di Pod Identity per un componente aggiuntivo. Se l’agente Pod Identity EKS è installato nel cluster, l’serviceAccountRoleArn verrà ignorato ed EKS utilizzerà l’associazione di Pod Identity fornita. Se Pod Identity non è abilitato, verrà utilizzato l’serviceAccountRoleArn.

    • Se aggiorni le associazioni di Pod Identity per un componente aggiuntivo esistente, Amazon EKS avvia un riavvio in sequenza dei pod del componente aggiuntivo.