使用 IRSA 向其他帳戶進行身分驗證 - Amazon EKS

協助改進此頁面

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IRSA 向其他帳戶進行身分驗證

您可以從另一個帳戶的叢集建立身分提供者,或使用鏈結的 AssumeRole 操作,設定跨帳戶 IAM 許可。在下列範例中,帳戶 A 擁有 Amazon EKS 叢集,該叢集支援服務帳戶的 IAM 角色。在該叢集上執行的 Pod 必須取得帳戶 B 的 IAM 許可。

範例從另一個帳戶的叢集建立身分提供者
範例

在此範例中,帳戶 A 將為帳戶 B 提供其叢集的 OpenID Connect (OIDC) 發行者 URL。帳戶 B 遵循為您的叢集建立 IAM OIDC 提供商將 IAM 角色指派給 Kubernetes 服務帳戶 中的指示,使用來自帳戶 A 叢集的 OIDC 發行者 URL。然後,叢集管理員會註釋帳戶 A 叢集中的服務帳戶,以使用帳戶 B (444455556666) 中的角色。

apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    eks.amazonaws.com/role-arn: arn:aws: iam::444455556666:role/account-b-role
範例使用鏈結的 AssumeRole 操作
範例

在此範例中,帳戶 B 會建立 IAM 政策,並授予許可給帳戶 A 叢集中的 Pod。帳戶 B (444455556666) 將該政策連接至 IAM 角色,該角色有信任關係將 AssumeRole 許可授予帳戶 A (111122223333)。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
    }
  ]
}

帳戶 A 使用信任政策建立角色,該政策會從使用叢集 OIDC 發行者位址建立的身分提供者取得憑證。

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "oidc.eks.us-east-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com"
        }
      }
    }
  ]
}

帳戶 A 將政策連接到該角色,並給予以下許可來擔任帳戶 B 建立的角色。

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::444455556666:role/account-b-role"
        }
    ]
}

Pod 擔任帳戶 B 角色的應用程式碼使用兩個描述檔:account_b_roleaccount_a_roleaccount_b_role 描述檔使用 account_a_role 描述檔作為其來源。對於 AWS CLI,~/.aws/config檔案類似於以下內容。

[profile account_b_role]
source_profile = account_a_role
role_arn=arn:aws: iam::444455556666:role/account-b-role

[profile account_a_role]
web_identity_token_file = /var/run/secrets/eks.amazonaws.com/serviceaccount/token
role_arn=arn:aws: iam::111122223333:role/account-a-role

若要指定其他 AWS SDKs的鏈結設定檔,請參閱您正在使用的 SDK 文件。如需詳細資訊,請參閱要建置的工具 AWS