

 **Ajudar a melhorar esta página** 

Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.

# Usar identidades de Pods para atribuir um perfil do IAM a um complemento do Amazon EKS
<a name="update-addon-role"></a>

Alguns complementos do Amazon EKS precisam de permissões e perfis do IAM. Antes de adicionar e atualizar um complemento do Amazon EKS para usar uma associação de identidade de pods, verifique o perfil e a política a serem usados. Para ter mais informações, consulte [Recuperar informações do IAM sobre um complemento do Amazon EKS](retreive-iam-info.md).

1. Determine:
   +  `cluster-name`: o nome do cluster no qual o complemento será instalado.
   +  `addon-name`: o nome do complemento a ser instalado.
   +  `service-account-name`: o nome da conta do serviço Kubernetes usada pelo complemento.
   +  `iam-role-arn`: o ARN de um perfil do IAM com permissões suficientes para o complemento. O perfil deve ter a política de confiança necessária para a identidade de pods do EKS. Para ter mais informações, consulte [Criar uma associação de identidade de pod (console do AWS )](pod-id-association.md#pod-id-association-create).

1. Atualize o complemento usando a AWS CLI. Também é possível especificar associações de identidades de pods ao criar um complemento usando a mesma sintaxe `--pod-identity-assocations`. Observe que, quando você especifica associações de identidades de pods ao atualizar um complemento, todas as associações anteriores de identidades de pods são substituídas.

   ```
   aws eks update-addon --cluster-name <cluster-name> \
   --addon-name <addon-name> \
   --pod-identity-associations 'serviceAccount=<service-account-name>,roleArn=<role-arn>'
   ```

   Por exemplo:

   ```
   aws eks update-addon --cluster-name mycluster \
   --addon-name aws-ebs-csi-driver \
   --pod-identity-associations 'serviceAccount=ebs-csi-controller-sa,roleArn=arn:aws:iam::123456789012:role/StorageDriver'
   ```

1. Valide se a associação de identidade de pods foi criada:

   ```
   aws eks list-pod-identity-associations --cluster-name <cluster-name>
   ```

   Se for bem-sucedido, você deve ver uma saída semelhante à seguinte. Observe o OwnerARN do complemento do EKS.

   ```
   {
       "associations": [
           {
               "clusterName": "mycluster",
               "namespace": "kube-system",
               "serviceAccount": "ebs-csi-controller-sa",
               "associationArn": "arn:aws:eks:us-west-2:123456789012:podidentityassociation/mycluster/a-4wvljrezsukshq1bv",
               "associationId": "a-4wvljrezsukshq1bv",
               "ownerArn": "arn:aws:eks:us-west-2:123456789012:addon/mycluster/aws-ebs-csi-driver/9cc7ce8c-2e15-b0a7-f311-426691cd8546"
           }
       ]
   }
   ```