Ajudar a melhorar esta página
Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.
Criar um perfil do IAM com a política de confiança exigida pela Identidade de Pods do EKS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } ] }
-
sts:AssumeRole -
A Identidade de Pods do EKS usa
AssumeRolepara assumir o perfil do IAM antes de passar as credenciais temporárias para seus pods. -
sts:TagSession -
A Identidade de Pods do EKS usa
TagSessionpara incluir tags de sessão nas solicitações para AWS STS. - Configuração de condições
-
É possível usar essas tags nas chaves de condição na política de confiança para restringir quais contas de serviço, namespaces e clusters podem usar esse perfil. Para ter acesso à lista de tags de solicitação disponível com a Identidade de Pods, consulte Habilitar ou desabilitar tags de sessão.
Por exemplo, você pode restringir quais pods podem assumir o papel de um perfil do IAM de Identidade de Pods para uma
ServiceAccounteNamespaceespecíficos com a seguinte Política de confiança com a adição deCondition:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:RequestTag/kubernetes-namespace": [ "<Namespace>" ], "aws:RequestTag/kubernetes-service-account": [ "<ServiceAccount>" ] } } } ] }
Para obter uma lista de chaves de condição do Amazon EKS, consulte Condições definidas pelo Amazon Elastic Kubernetes Service na Referência de autorização de serviço. Para saber com quais ações e recursos você pode usar a chave de condição, consulte Ações definidas pelo Amazon Elastic Kubernetes Service.
