Ajudar a melhorar esta página
Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.
Criar um perfil do IAM com a política de confiança exigida pela Identidade de Pods do EKS
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } ] }
-
sts:AssumeRole -
A Identidade de Pods do EKS usa
AssumeRolepara assumir o perfil do IAM antes de passar as credenciais temporárias para seus pods. -
sts:TagSession -
A Identidade de Pods do EKS usa
TagSessionpara incluir tags de sessão nas solicitações para AWS STS. - Configuração de condições
-
É possível usar essas tags nas chaves de condição na política de confiança para restringir quais contas de serviço, namespaces e clusters podem usar esse perfil. Para ter acesso à lista de tags de solicitação disponível com a Identidade de Pods, consulte Habilitar ou desabilitar tags de sessão.
Por exemplo, você pode restringir quais pods podem assumir um perfil do IAM do Identidade de Pods para uma
ServiceAccounte umNamespaceespecíficos com a seguinte política de confiança com aConditionadicionada:
{ "Version":"2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:RequestTag/kubernetes-namespace": [ "Namespace" ], "aws:RequestTag/kubernetes-service-account": [ "ServiceAccount" ] } } } ] }
Para obter uma lista de chaves de condição do Amazon EKS, consulte Condições definidas pelo Amazon Elastic Kubernetes Service na Referência de autorização de serviço. Para saber com quais ações e recursos você pode usar a chave de condição, consulte Ações definidas pelo Amazon Elastic Kubernetes Service.