Assegna un ruolo IAM a un account di servizio Kubernetes - Amazon EKS
Crea un'associazione Pod Identity (Console)AWSCreare un'associazione Pod Identity (AWS CLI)Conferma la configurazioneFasi successive

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assegna un ruolo IAM a un account di servizio Kubernetes

Questo argomento spiega come configurare un account di servizio Kubernetes per assumere un ruolo di AWS Identity and Access Management (IAM) con EKS Pod Identity. Tutti i Pod configurati per utilizzare l'account di servizio possono quindi accedere a qualsiasi AWS servizio a cui il ruolo dispone delle autorizzazioni di accesso.

Per creare un'associazione EKS Pod Identity, è sufficiente un solo passaggio; si crea l'associazione in EKS tramite AWS CLI AWS CloudFormation e altri strumenti. AWS Management Console AWS SDKs Non ci sono dati o metadati sulle associazioni all'interno del cluster in nessun oggetto Kubernetes e non si aggiungono annotazioni agli account di servizio.

Prerequisiti

  • Un cluster esistente. Se non ne hai uno, puoi crearne uno seguendo una delle guide riportate in. Nozioni di base su Amazon EKS

  • Il principale IAM che sta creando l'associazione deve avere iam:PassRole.

  • La versione più recente della AWS CLI installata e configurata sul dispositivo o. AWS CloudShell È possibile verificare la versione corrente con aws --version | cut -d / -f2 | cut -d ' ' -f1. I gestori di pacchetti come yum Homebrew per macOS sono spesso diverse versioni dell'ultima versione della CLI AWS . apt-get Per installare la versione più recente, consulta Installazione e configurazione rapida con aws configure nella Guida per l'utente dell'interfaccia a riga di AWS comando. La versione AWS CLI installata in AWS CloudShell potrebbe anche contenere diverse versioni precedenti alla versione più recente. Per aggiornarlo, consulta Installazione della AWS CLI nella tua home directory nella Guida per l' AWS CloudShell utente.

  • Lo strumento a riga di comando kubectl è installato sul dispositivo o AWS CloudShell. La versione può essere la stessa o fino a una versione secondaria precedente o successiva alla versione Kubernetes del cluster. Ad esempio, se la versione del cluster è 1.29, puoi usare kubectl versione 1.28, 1.29 o 1.30. Per installare o aggiornare kubectl, consulta Configurazione kubectl e eksctl:

  • Un file kubectl config esistente che contiene la configurazione del cluster. Per creare un file kubectl config, consulta Connect kubectl a un cluster EKS creando un file kubeconfig.

Crea un'associazione Pod Identity (Console)AWS

  1. Aprire la Console Amazon EKS.

  2. Nel riquadro di navigazione a sinistra, seleziona Cluster, quindi seleziona il nome del cluster per cui configurare il componente aggiuntivo di EKS Pod Identity Agent.

  3. Scegli la scheda Accesso.

  4. In Associazioni Pod Identity, scegli Crea.

  5. Per Ruolo IAM, seleziona il ruolo IAM con le autorizzazioni che desideri assegnare al carico di lavoro.

    Nota

    L'elenco contiene solo i ruoli con la seguente policy di attendibilità che consente a EKS Pod Identity di utilizzarli.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}

    sts:AssumeRole— EKS Pod Identity utilizza AssumeRole per assumere il ruolo IAM prima di passare le credenziali temporanee ai pod.

    sts:TagSession— EKS Pod Identity utilizza TagSession per includere i tag di sessione nelle richieste a AWS STS.

    È possibile utilizzare questi tag nelle chiavi di condizione della policy di fiducia per limitare gli account di servizio, i namespace e i cluster che possono utilizzare questo ruolo.

    Per un elenco di chiavi di condizione di Amazon EKS, consultare Condizioni per Amazon Elastic Kubernetes Service in Service Authorization Reference. Per informazioni su operazioni e risorse con cui è possibile utilizzare una chiave di condizione, consultare Operazioni definite da Amazon Elastic Kubernetes Service.

  6. Per lo spazio dei nomi Kubernetes, seleziona lo spazio dei nomi Kubernetes che contiene l'account di servizio e il carico di lavoro. Facoltativamente, puoi specificare uno spazio dei nomi per nome che non esiste nel cluster.

  7. Per l'account del servizio Kubernetes, seleziona l'account del servizio Kubernetes da utilizzare. Il manifesto per il tuo carico di lavoro Kubernetes deve specificare questo account di servizio. Facoltativamente, puoi specificare un account di servizio per nome che non esiste nel cluster.

  8. (Facoltativo) Per Tag, scegli Aggiungi tag per aggiungere metadati in una coppia chiave-valore. Questi tag vengono applicati all'associazione e possono essere utilizzati nelle policy IAM.

    Puoi ripetere questo passaggio per aggiungere più tag.

  9. Scegli Create (Crea) .

Creare un'associazione Pod Identity (AWS CLI)

  1. Se desideri associare una policy IAM esistente al tuo ruolo IAM, passa al prossimo passaggio.

    Creare una policy IAM Puoi creare la tua politica o copiare una politica AWS gestita che concede già alcune delle autorizzazioni di cui hai bisogno e personalizzarla in base alle tue esigenze specifiche. Per ulteriori informazioni, consulta Creazione di policy IAM nella Guida per l'utente di IAM.

    1. Crea un file che includa le autorizzazioni per i AWS servizi a cui desideri che i tuoi Pod accedano. Per un elenco di tutte le azioni per tutti i AWS servizi, consulta il Service Authorization Reference.

      Puoi eseguire il comando seguente per creare un file policy di esempio che consenta l'accesso in sola lettura a un bucket Amazon S3. Facoltativamente, puoi memorizzare le informazioni di configurazione o uno script di bootstrap in questo bucket e i contenitori del tuo Pod possono leggere il file dal bucket e caricarlo nell'applicazione. Se desideri creare questa policy di esempio, copia i seguenti contenuti sul dispositivo. Sostituiscilo my-pod-secrets-bucket con il nome del tuo bucket ed esegui il comando.

      cat >my-policy.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws: s3:::my-pod-secrets-bucket"
        }
    ]
}
EOF

    2. Creare la policy IAM.

      aws iam create-policy --policy-name my-policy --policy-document file://my-policy.json

  2. Crea un ruolo IAM e associalo a un account di servizio Kubernetes.

    1. Se disponi di un account di servizio Kubernetes esistente e desideri assumere un ruolo IAM, puoi saltare questo passaggio.

      Creare un account di servizio Kubernetes. Copia i seguenti contenuti sul dispositivo. my-service-accountSostituiscilo con il nome desiderato e default con un namespace diverso, se necessario. Se si modificadefault, lo spazio dei nomi deve già esistere.

      cat >my-service-account.yaml <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account
  namespace: default
EOF
kubectl apply -f my-service-account.yaml

      Esegui il comando seguente.

      kubectl apply -f my-service-account.yaml

    2. Per creare una policy di attendibilità del ruolo IAM, esegui il comando seguente.

      cat >trust-relationship.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}
EOF

    3. Crea il ruolo. Sostituisci my-role con un nome per il ruolo IAM e my-role-description con una descrizione per il tuo ruolo.

      aws iam create-role --role-name my-role --assume-role-policy-document file://trust-relationship.json --description "my-role-description"

    4. Allegare una policy IAM al ruolo. Sostituisci my-role con il nome del ruolo IAM e my-policy con il nome di una policy esistente che hai creato.

      aws iam attach-role-policy --role-name my-role --policy-arn=arn:aws: iam::111122223333:policy/my-policy
      Nota

      A differenza dei ruoli IAM per gli account di servizio, EKS Pod Identity non utilizza un'annotazione sull'account di servizio.

    5. Esegui il comando seguente per creare l'associazione. Sostituisci my-cluster con il nome del cluster, sostituiscilo my-service-account con il nome desiderato e default con un namespace diverso, se necessario.

      aws eks create-pod-identity-association --cluster-name my-cluster --role-arn arn:aws: iam::111122223333:role/my-role --namespace default --service-account my-service-account

      Di seguito viene riportato un output di esempio:

      {
    "association": {
        "clusterName": "my-cluster",
        "namespace": "default",
        "serviceAccount": "my-service-account",
        "roleArn": "arn:aws: iam::111122223333:role/my-role",
        "associationArn": "arn:aws::111122223333:podidentityassociation/my-cluster/a-abcdefghijklmnop1",
        "associationId": "a-abcdefghijklmnop1",
        "tags": {},
        "createdAt": 1700862734.922,
        "modifiedAt": 1700862734.922
    }
}
      Nota

      È possibile specificare uno spazio dei nomi e un account di servizio per nome che non esiste nel cluster. È necessario creare lo spazio dei nomi, l'account di servizio e il carico di lavoro che utilizza l'account di servizio affinché l'associazione EKS Pod Identity funzioni.

Conferma la configurazione

  1. Verifica che la policy di fiducia del ruolo IAM sia configurata correttamente.

    aws iam get-role --role-name my-role --query Role.AssumeRolePolicyDocument

    Di seguito viene riportato un output di esempio:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow EKS Auth service to assume this role for Pod Identities",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}

  2. Conferma che la policy che hai associato al tuo ruolo in un passaggio precedente sia associata al ruolo.

    aws iam list-attached-role-policies --role-name my-role --query 'AttachedPolicies[].PolicyArn' --output text

    Di seguito viene riportato un output di esempio:

     arn:aws: iam::111122223333:policy/my-policy

  3. Imposta una variabile per memorizzare il nome della risorsa Amazon (ARN) della policy che desideri utilizzare. Sostituiscila my-policy con il nome della policy per la quale desideri confermare le autorizzazioni.

    export policy_arn=arn:aws: iam::111122223333:policy/my-policy

  4. Visualizza la versione predefinita della policy.

    aws iam get-policy --policy-arn $policy_arn

    Di seguito viene riportato un output di esempio:

    {
    "Policy": {
        "PolicyName": "my-policy",
        "PolicyId": "EXAMPLEBIOWGLDEXAMPLE",
        "Arn": "arn:aws: iam::111122223333:policy/my-policy",
        "Path": "/",
        "DefaultVersionId": "v1",
        [...]
    }
}

  5. Visualizza il contenuto della policy per assicurarti che la policy includa tutte le autorizzazioni di cui il tuo Pod ha bisogno. Se necessario, sostituiscilo 1 nel comando seguente con la versione restituita nell'output precedente.

    aws iam get-policy-version --policy-arn $policy_arn --version-id v1

    Di seguito viene riportato un output di esempio:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws: s3:::my-pod-secrets-bucket"
        }
    ]
}

    Se hai creato la policy di esempio in un passaggio precedente, il risultato è lo stesso. Se hai creato una politica diversa, il example contenuto è diverso.

Fasi successive

Configura i pod per accedere ai AWS servizi con account di servizio