Recupero delle informazioni IAM su un componente aggiuntivo di Amazon EKS - Amazon EKS
ProceduraRiferimento di supporto Pod Identity

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Recupero delle informazioni IAM su un componente aggiuntivo di Amazon EKS

Prima di creare un componente aggiuntivo, utilizza AWS CLI per determinare:

  • Se il componente aggiuntivo richiede le autorizzazioni IAM

  • La policy IAM consigliata da utilizzare

Procedura

  1. Determina il nome del componente aggiuntivo che desideri installare e la versione Kubernetes del tuo cluster. Per ulteriori informazioni sui componenti aggiuntivi, consulta Componenti aggiuntivi Amazon EKS.

  2. Utilizza AWS CLI per stabilire se il componente aggiuntivo richiede autorizzazioni IAM.

    aws eks describe-addon-versions \
--addon-name <addon-name> \
--kubernetes-version <kubernetes-version>

    Per esempio:

    aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30

    Esamina il seguente output esemplificativo. Tieni presente che requiresIamPermissions è true e la versione del componente aggiuntivo predefinita. È necessario specificare la versione del componente aggiuntivo quando si recupera la policy IAM consigliata.

    {
    "addons": [
        {
            "addonName": "aws-ebs-csi-driver",
            "type": "storage",
            "addonVersions": [
                {
                    "addonVersion": "v1.31.0-eksbuild.1",
                    "architecture": [
                        "amd64",
                        "arm64"
                    ],
                    "compatibilities": [
                        {
                            "clusterVersion": "1.30",
                            "platformVersions": [
                                "*"
                            ],
                            "defaultVersion": true
                        }
                    ],
                    "requiresConfiguration": false,
                    "requiresIamPermissions": true
                },
[...]

  3. Se il componente aggiuntivo richiede autorizzazioni IAM, utilizza AWS CLI per recuperare una policy IAM consigliata.

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name <addon-name> \
--addon-version <addon-version>

    Per esempio:

    aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1

    Esamina l’output successivo. Prendi nota di recommendedManagedPolicies.

    [
    {
        "serviceAccount": "ebs-csi-controller-sa",
        "recommendedManagedPolicies": [
            "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
        ]
    }
]

  4. Crea un ruolo IAM e collega la policy gestita consigliata. In alternativa, riconsulta la policy gestita e definisci le autorizzazioni in modo appropriato. Per ulteriori informazioni, consulta Crea un’associazione Pod Identity (AWS console).

Riferimento di supporto Pod Identity

La tabella seguente indica se determinati componenti aggiuntivi di Amazon EKS supportano EKS Pod Identity.

Nome del componente aggiuntivo Supporto di Pod Identity Versione minima richiesta

Driver CSI per Amazon EBS

v1.26.0-eksbuild.1

CNI di Amazon VPC

v1.15.5-eksbuild.1

Driver CSI per Amazon EFS

v2.0.5-eksbuild.1

AWS Distro per OpenTelemetry

v0.94.1-eksbuild.1

Driver CSI di Mountpoint per Amazon S3

No

N/D

Agente Osservabilità di Amazon CloudWatch

v3.1.0-eksbuild.1

L’ultimo aggiornamento di questa tabella risale al 28 ottobre 2024.