EKS Pod Identity에서 요구하는 신뢰 정책으로 IAM 역할 생성 - Amazon EKS

이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

EKS Pod Identity에서 요구하는 신뢰 정책으로 IAM 역할 생성

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}
sts:AssumeRole

EKS Pod Identity는 AssumeRole을 사용하여 임시 보안 인증 정보를 포드에 전달하기 전에 IAM 역할을 맡습니다.

sts:TagSession

EKS Pod Identity는 TagSession을 사용하여 세션 태그를 AWS STS 요청에 포함합니다.

조건 설정

신뢰 정책의 조건 키에서 이러한 태그를 사용하여 이 역할을 사용할 수 있는 서비스 계정, 네임스페이스, 클러스터를 제한할 수 있습니다. Pod Identity가 추가하는 요청 태그 목록은 세션 태그 활성화 또는 비활성화 섹션을 참조하세요.

예를 들어, Condition이 추가된 다음 신뢰 정책을 사용하여 Pod Identity IAM 역할을 수임할 수 있는 포드를 특정 ServiceAccountNamespace로 제한할 수 있습니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/kubernetes-namespace": [
                        "<Namespace>"
                    ],
                    "aws:RequestTag/kubernetes-service-account": [
                        "<ServiceAccount>"
                    ]
                }
            }
        }
    ]
}

Amazon EKS 조건 키 목록을 보려면 서비스 인증 참조Amazon Elastic Kubernetes Service의 조건 키를 참조하세요. 조건 키를 사용할 수 있는 작업과 리소스를 알아보려면 Amazon Elastic Kubernetes Service에서 정의한 작업을 참조하세요.