Utilizzo di Pod Identity per assegnare un ruolo IAM a un componente aggiuntivo Amazon EKS - Amazon EKS

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Utilizzo di Pod Identity per assegnare un ruolo IAM a un componente aggiuntivo Amazon EKS

Alcuni componenti aggiuntivi Amazon EKS richiedono ruoli IAM e autorizzazioni. Prima di aggiungere o aggiornare un componente aggiuntivo Amazon EKS per utilizzare un’associazione Pod Identity, verifica il ruolo e la policy da utilizzare. Per ulteriori informazioni, consulta Recupero delle informazioni IAM su un componente aggiuntivo di Amazon EKS.

  1. Determina:

    • cluster-name: il nome del cluster su cui installare il componente aggiuntivo.

    • addon-name: il nome del componente aggiuntivo da installare.

    • service-account-name: il nome dell’account di servizio Kubernetes utilizzato dal componente aggiuntivo.

    • iam-role-arn: l’ARN di un ruolo IAM con le autorizzazioni sufficienti per il componente aggiuntivo. Il ruolo deve disporre della policy di attendibilità richiesta per EKS Pod Identity. Per ulteriori informazioni, consulta Crea un’associazione Pod Identity (AWS console).

  2. Aggiorna il componente aggiuntivo utilizzando AWS CLI. È anche possibile specificare le associazioni Pod Identity durante la creazione di un componente aggiuntivo, utilizzando la stessa sintassi --pod-identity-assocations. Nota che quando specifichi le associazioni di Pod Identity durante l’aggiornamento di un componente aggiuntivo, tutte le associazioni di Pod Identity precedenti sono sovrascritte.

    aws eks update-addon --cluster-name <cluster-name> \
--addon-name <addon-name> \
--pod-identity-associations 'serviceAccount=<service-account-name>,roleArn=<role-arn>'

    Per esempio:

    aws eks update-addon --cluster-name mycluster \
--addon-name aws-ebs-csi-driver \
--pod-identity-associations 'serviceAccount=ebs-csi-controller-sa,roleArn=arn:aws:iam::123456789012:role/StorageDriver'

  3. Convalida che l’associazione Pod Identity sia stata creata:

    aws eks list-pod-identity-associations --cluster-name <cluster-name>

    A operazione riuscita, viene visualizzato un output simile al seguente. Nota OwnerARN del componente aggiuntivo EKS.

    {
    "associations": [
        {
            "clusterName": "mycluster",
            "namespace": "kube-system",
            "serviceAccount": "ebs-csi-controller-sa",
            "associationArn": "arn:aws:eks:us-west-2:123456789012:podidentityassociation/mycluster/a-4wvljrezsukshq1bv",
            "associationId": "a-4wvljrezsukshq1bv",
            "ownerArn": "arn:aws:eks:us-west-2:123456789012:addon/mycluster/aws-ebs-csi-driver/9cc7ce8c-2e15-b0a7-f311-426691cd8546"
        }
    ]
}